Metodología de Análisis de Riesgos de

Activos de Información
1. TABLA DE CONTENIDO

1. TABLA DE CONTENIDO ..................................................................................................................... 2

2. GLOSARIO DE TÉRMINOS................................................................................................................. 3

3. OBJETIVO............................................................................................................................................... 3

4. ALCANCE ............................................................................................................................................... 4

5. MARCO TEÓRICO ................................................................................................................................ 4

6. DESARROLLO METODOLÓGICO .................................................................................................... 4

6.1.1. Flujograma de ANÁLISIS DE RIESGOS DE ACTIVOS DE INFORMACIÓN .............. ¡Error!

Marcador no definido.
6.1.2. identificación de activos de información .................................................................................. 4
6.1.3. definición de la metodología de análisis de riesgos ................................................................. 5
6.1.4. identificación de vulnerabilidades aplicables .......................................................................... 9
6.1.5. identificación de amenazas aplicables ................................................................................... 10
6.1.6. identificación de medidas ....................................................................................................... 10
6.1.7. selección de medidas .............................................................................................................. 11
6.1.8. generación de documentos para valoración .......................................................................... 12
6.1.9. valoración de riesgos de activos de información ................................................................... 12
6.1.10. matriz de riesgo ...................................................................................................................... 14
6.1.11. plan de tratamiento de riesgos ............................................................................................... 15
6.1.12. Documentación Final / Presentación de Resultados .............................................................. 16

7. REQUISITOS ........................................................................................................................................ 16

8. LECCIONES APRENDIDAS ............................................................................................................... 16

9. SUPOSICIONES ................................................................................................................................... 16

10. HISTORIA MODIFICACIONES .................................................................................................... 16

11. LINEAMIENTOS DEL DOCUMENTO.......................... ¡ERROR! MARCADOR NO DEFINIDO.

2. GLOSARIO DE TÉRMINOS

 Riesgo: Se entiende por Riesgo, la posibilidad de incurrir en pérdidas por

deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la
tecnología, la infraestructura, debido a la explotación de una vulnerabilidad por
parte de una amenaza.
 Amenaza: Se entiende por amenaza, aquél elemento que puede provocar daños
sobre el activo y generan pérdidas para el cliente. Algunas amenazas son el
recurso humano, los procesos, la tecnología, la infraestructura y los
acontecimientos externos.
 Análisis de Riesgo: Uso sistemático de la información para identificar las fuentes
y las vulnerabilidades que generan el riesgo
 Confidencialidad: Propiedad que determina la condición de que la información
no esté disponible ni sea revelada a individuos, entidades o procesos no
autorizados.
 Disponibilidad: Propiedad de que la información sea accesible y utilizable por
solicitud de una entidad autorizada.
 Integridad: Propiedad de salvaguardar la exactitud y estado completo de los
activos de información.
 Vulnerabilidad: Es el grado de debilidad de un activo frente a una amenaza, la
capacidad que tiene la amenaza de afectar el activo.
 Controles: Medidas dispuestas para reducir el nivel de riesgo.

3. OBJETIVO

El presente documento tiene por objeto presentar los elementos necesarios para ser
utilizados en la formulación de las metodologías de los servicios del área de consultoría.
4. ALCANCE

5. MARCO TEÓRICO

6. DESARROLLO METODOLÓGICO

El proceso de Análisis de Riesgos de activos de información es un conjunto de actividades

que le permitirá al cliente conocer el nivel de exposición al riesgo de los activos de
información. Este proceso, se realiza por medio de diferentes etapas, las cuales se
describen a continuación.

6.1.1. IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN

El objetivo de esta actividad es seleccionar los activos de información a los cuales se les
realizará el análisis de riesgos, esta selección se hace sobre el inventario de activos de
información.

Entradas:
 Inventario y clasificación de Activos de Información:
Este insumo proviene del proceso de Inventario y Clasificación de Activos,
elaborado previamente como requisito exigido por la norma ISO 27001:20051.
Responsables: Esta actividad es realizada entre el asesor y el Cliente.
 Criterio de Selección de Activos de Información:

1
Metodología para el Inventario y Clasificación de Activos de información, que tiene como salida el
documento en Excel Inventario_y_clasificacion.xls
 Este criterio debe estar definido en función de los niveles de valoración de las
propiedades2 de los activos de información definidos en el punto anterior, por
ejemplo, un criterio de selección puede ser aquellos activos cuya disponibilidad sea
mayor a Alta. Es recomendable que una vez el criterio sea determinado, éste sea
formalizado mediante un acta o correo.
Responsables: Estos criterios los define el Cliente con el apoyo del asesor.

Salidas:
 Como resultado de esta actividad tenemos un subconjunto del inventario de
activos de información, que cumple con el criterio de selección acordado con el
cliente y al cual se le realizará el análisis de riesgos.

6.1.2. DEFINICIÓN DE LA METODOLOGÍA DE ANÁLISIS DE RIESGOS

Aunque el asesor cuenta con una metodología base de riesgos basada en la norma
ISO/IEC 27005:2008, esta actividad se hace necesaria con el objetivo de lograr una
integración con la metodologías ya implementadas por el cliente, lograr el menor impacto
(debido a una nueva metodología a desarrollar), y así la metodología a su vez cumpla con
los requisitos (legales y contractuales) particulares del negocio.

La metodología resultante debe cumplir con los siguientes requisitos exigidos por la norma
ISO/IEC 27001:2005:
 Debe identificarse con las necesidades de seguridad de la información del negocio,
y con los requerimientos regulatorios y legales.
 Debe ajustarse al SGSI.
 Debe contar con un criterio para la aceptación del riesgo.
 Debe asegurar un resultado comparable* y reproducible.
 Identificar los AI.

2
Entre estas se encuentran: Confidencialidad, Integridad, Disponibilidad, no repudio y otras que el
  Identificar el impacto de la perdida de confidencialidad, integridad y disponibilidad
sobre los AI.
 Identificar las amenazas sobre los AI.
 Identificar las vulnerabilidades que explotaran esas amenazas.
 Valorar los impactos de la materialización del riesgo. (V*A).
 Valorar la probabilidad de la ocurrencia. (V*A).
 Identificar los controles implementados.
 Estimar el nivel de riesgo.
 Determinar si el riesgo es aceptable o requiere tratamiento.
 Identificar y evaluar las opciones de tratamiento del riesgo.
 Seleccionar los controles para el tratamiento del riesgo.

Los aspectos a tener en cuenta para la definición de la metodología son:

 Requisitos para definición:
Los requisitos de definición pueden ser:
o Metodologías existentes: Se deben tener en cuenta metodologías ya
implementadas en la empresa, para obtener de ellas información relevante
para el proceso, tal como: matrices de valoración, niveles de aceptabilidad,
en algunos casos identificación de riesgos, etc. Algunas metodologías que
pueden estar implementadas son: SARO3, SARLAFT4, MECI5, OCTAVE6,
entre otras, o cualquiera desarrollada internamente que esté basada en
algunas de las estandarizadas.

cliente considere relevantes.

3
SARO: Sistema de Administración del Riesgo Operativo. Requisito de la Superintendencia
Financiera de Colombia, para las entidades vigiladas por esta.
4
SARLAFT: Sistema de Administración del Riesgo de Lavado de Activos y Financiación del
Terrorismo. Requisito de la Superintendencia Financiera de Colombia, para las entidades vigiladas
por esta.
5
MECI: Modelo Estándar de Control Interno, cuyo propósito es que las entidades del Estado
obligadas puedan mejorar su desempeño institucional mediante el fortalecimiento del control y de
los procesos de evaluación que deben llevar a cabo las Oficinas de Control Interno, Unidades de
Auditoría Interna o quien haga sus veces.
6
OCTAVE: Operational Critical Threat, Asset and Vulnerability Evaluation. Metodología de
Evaluación de Riesgos
 o Impacto a la empresa: Es necesario evaluar qué impacto va a generar al
cliente la implementación de la metodología, teniendo en cuenta:
 Tiempo requerido por los funcionarios de la empresa para la
implementación de la metodología.
 Tiempo requerido por los consultores para la implementación de la
metodología.
 Valor agregado que genera cada una de las valoraciones
o Requisitos Legales: Existen diferentes circulares y normas aplicables a cada
empresa cuya implementación puede proveer información útil para la
definición de esta metodología; por ejemplo, para las entidades financieras
la Circular 0527 provee información importante
o Requisitos de la norma ISO 27001:2005: En la definición de la metodología
es importante tener en cuenta, estar alineados con lo que propone la
Norma ISO 27001 Versión 20058, que establece un conjunto de controles, y
una identificación de Vulnerabilidades y Amenazas.
 Definir el tipo de riesgo a valorar, riesgo puro9 y residual10 o sólo el riesgo residual.
En la primera opción, el riesgo puro provee información base, para junto con el
riesgo residual determinar de que manera los controles implementados están
mitigando el riesgo, esta opción es interesante ya que puede brindar información
de cómo los controles implementados reducen el riesgo existente, aunque es un
poco compleja ya que para el usuario puede ser complejo estimar un riesgo sin
controles ya que siempre ha convivido con ellos.

7
CE 052 de la SFC: Requerimientos mínimos de seguridad y calidad en el manejo de información a
través de medios y canales de distribución de productos y servicios para clientes y usuarios.
8
Norma ISO 27001:2005: Information technology - Security techniques - Information security
management systems – Requirements. Especifica los requisitos necesarios para establecer,
implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)
según el ciclo PHVA (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas
descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la revisión de la norma
británica British Standard BS 7799-2:2002.
9
Riesgo Inherente: Es el nivel de riesgo existente antes de tener en cuenta la aplicación de
controles existentes en la organización.
10
Riesgo Residual: Nivel de Riesgo teniendo en cuenta la aplicación de controles existentes en la
organización.
 La segunda opción, sólo el riesgo residual, es una forma rapida de realizar las
valoraciones y una opción facil para el usuario final ya que refleja la realidad, la
existencia del riesgo en conjunto con los controles implementados.
 Definición de Matrices de Valoración:
El objetivo a lograr es establecer un esquema de medición para:
 La probabilidad que una amenaza explote una vulnerabilidad,
 y el impacto generado por el evento anterior.

En el formato Valoracion_Riesgo_Ejemplo_1_0.xls se describe un ejemplo de las

posibles matrices para valoración.

Sobre la matriz de impacto se puede plantear una variación en la cual no se realiza

una valoración única de impacto, sino sobre los recursos importantes que ha
considerado el cliente, entre los cuales pueden estar:
 Impacto sobre el Recurso Humano.
 Impacto sobre la Información.
 Impacto Legal.
 Impacto sobre la imagen.
 Impacto Financiero.
 Impacto en el Medio Ambiente.

Responsables: Esta actividad es definida por el cliente con el apoyo del asesor.

 Definición de Niveles de Aceptabilidad:

Para la definición de la metodología se debe establecer los valores bajo los cuales
el riesgo para la organización es aceptable y no se hará necesario su reducción
mediante medidas. Para elaborar esta escala de tolerancia, se tiene en cuenta el
impacto que genera la materialización del riesgo para el negocio y en términos
económicos se tiene en cuenta el costo de la implementación del control que
mitigaría el riesgo. En el formato Valoracion_Riesgo_Ejemplo1_0.xls se describe un
ejemplo de un posible nivel de aceptación del riesgo.
 Responsables: Esta definición es realizada por el cliente con el apoyo del asesor.

Salidas:
 Como resultado de este proceso, se tiene la metodología adaptada a las
necesidades del cliente, así como las escalas y matrices necesarias para la
implementación de la misma.

6.1.3. IDENTIFICACIÓN DE VULNERABILIDADES APLICABLES

Entradas:
 Catálogo de Vulnerabilidades y amenazas.

Como parte del proceso de implementación de la metodología, es necesario identificar las

vulnerabilidades que presentan los activos de información analizados. Una vulnerabilidad
describe una debilidad que presenta el activo de información, la organización o su entorno
que de alguna forma pueda llegar a afectar al primero. Para cada tipo de empresa, es
necesario relacionar cuáles vulnerabilidades son aplicables, según los tipos de activos que
se estén analizando.
El asesor cuenta con un Catálogo de Vulnerabilidades y amenazas11, que debe ser revisado
por el equipo, con el fin de seleccionar el conjunto que es aplicable a los activos del
Cliente, para su posterior validación.
Es importante tener en cuenta que las vulnerabilidades seleccionadas, no son las únicas
que pueden presentarse en el proceso de validación; el cliente, puede identificar nuevas
que deben ser relacionadas. Por ejemplo para un activo de información como: Acta de
Junta Asesora, puede existir una vulnerabilidad relacionada con la falta de control de
acceso físico, ya que la organización no cuenta con un lugar adecuado para el
almacenamiento del documento.

11
Catálogo de Vulnerabilidades y Amenazas, alineado con la norma ISO 27001:2005 (Véase en H)
Responsables: Este proceso se realiza entre el asesory el Cliente.

Salidas:
 Documento donde se detalla cada activo de información con sus vulnerabilidades.

6.1.4. IDENTIFICACIÓN DE AMENAZAS APLICABLES

Entradas:
 Catálogo de Vulnerabilidades y amenazas.

De igual forma como se identificaron las vulnerabilidades, es necesario identificar las

amenazas por cada vulnerabilidad detectada en el punto anterior. Para este proceso se
utiliza el Catálogo de Vulnerabilidades y amenazas12, y de igual manera debe ser revisado
por el equipo auditor, con el fin de seleccionar el conjunto que es aplicable a los activos
del Cliente, para su posterior validación.
En este caso las amenazas seleccionadas, no son las únicas que pueden presentarse en el
proceso de validación y durante el proceso de valoración del riesgos, el cliente puede
identificar nuevas que deben ser relacionadas.

Responsables: Este proceso se realiza entre el asesor y el Cliente.

Salidas:
 Documento donde se detalla cada activo de información con sus vulnerabilidades y
para éstas, las amenazas que pueden explotar cada una de las vulnerabilidades.

6.1.5. IDENTIFICACIÓN DE MEDIDAS

Entradas:
 Formatos de identificación de Medidas

12
Catálogo de Vulnerabilidades y Amenazas, alineado con la norma ISO 27001:2005 (Véase en H)
  Informe de Análisis GAP ISO 27001:2005

Como requisito para la actividad de valoración de riesgos se debe realizar la identificación

de medidas que ayudan a la reducción del riesgo. Esta actividad se debe realizar teniendo
como base la identificación del estado de implementación de los 133 controles planteados
en la norma ISO/IEC 27001:2005, detallados en la norma ISO/IEC 27002:2005.
Para el levantamiento de esta información se plantea la realización de entrevistas con
personas, con un alto conocimiento de la empresa y sus procesos. Por la orientación de
las medidas relacionadas en la norma se recomienda la realización de entrevistas con las
áreas que manejen los siguientes aspectos:

 Tecnología de la información.
 Legales.
 Revisoría fiscal.
 Logísticos.
 Seguridad física
 Recursos humanos.
 Y otros que se considere necesario de acuerdo al planteamiento de la norma.

El área que maneje estas temáticas dependerá de la organización del cliente.

Responsables: Este proceso se realiza entre el asesor, el Cliente y las áreas

involucradas.

Salidas:
 Inventario de medidas y su estado de madurez.

6.1.6. SELECCIÓN DE MEDIDAS

Entradas:
 Identificación de medidas
El objetivo de esta actividad es realizar una preselección de medidas de acuerdo a las
vulnerabilidades presentadas en el cliente, así a la hora de realizar la valoración del riesgo,
el cliente no tendrá que revisar todas las medidas para determinar cual aplica a la
vulnerabilidad sino que chequeará sólo aquellas que el consultor ha preseleccionado.

Responsables: Esta actividad la realiza el asesor y el Cliente realiza la validación antes

de la realización de los talleres con el cliente.

Salidas:
 Medidas seleccionadas para cada una de la vulnerabilidades encontradas.

6.1.7. GENERACIÓN DE DOCUMENTOS PARA VALORACIÓN

Entradas:
 Vulnerabilidades establecidas para los activos de información.
 Amenazas seleccionadas para las vulnerabilidades.
 Inventario de Activos que hacen parte del análisis de riesgo.

Responsables: Esta actividad la realiza el asesor.

Salidas:
 Formatos por proceso en el cual se detallan por activo de información las posibles
vulnerabilidades y amenazas aplicables, formato preparado para la valoración del
riesgo por parte de los pertenecientes al proceso particular. Formato
Valoracion_Riesgo_Ejemplo_1_0.xls

6.1.8. VALORACIÓN DE RIESGOS DE ACTIVOS DE INFORMACIÓN

Entradas:
 Documentos para la valoración del riesgo de los activos de información.
 Inventario de medidas.
  Escalas de valoración de la probabilidad y el impacto.

La valoración del riesgo es la determinación de la probabilidad que una vulnerabilidad sea

explotada por una amenaza generando un impacto en la organización.

Riesgo = Impacto x Probabilidad

Esta valoración puede ser realizada de dos formas principales:

 Valoración del riesgo puro y residual: En este tipo de valoración se realiza una
valoración inicial sin tener en cuenta las medidas existentes. Posteriormente se
seleccionan, del inventario de medidas obtenido anteriormente, cuales de ellas
pueden ayudar a reducir el riesgo analizado y se realiza una segunda valoración
teniendo en cuentas las medidas seleccionadas, esta segunda valoración es el
riesgo residual.
 Valoración sólo del riesgo residual: Esta opción plantea sólo la valoración del riesgo
residual, es decir la probabilidad que una amenaza explote una vulnerabilidad y el
impacto causado teniendo en cuenta las medidas actualmente implementadas en
la organización.

Cualquiera de la dos opciones son validas, la primera brinda información sobre que tanto
las medidas implementadas ayudan a reducir el riesgo de la organización, lo anterior a
cambio del costo (casi el doble) en tiempo para la realización de la actividad.
Estas valoraciones las debe realizar el dueño del activo de información o el dueño del
proceso al cual pertenece el activo de información. Para esta actividad se debe utilizar el
formato Valoracion_Riesgo_Ejemplo_1_0.xls. Es recomendable para el levantamiento de
información la realización de talleres, en los cuales los usuarios conocedores del proceso,
determinen la información necesaria. Para esta actividad es un factor crítico la correcta
selección del los funcionarios que realizarán la valoración, entre más conocedores del
proceso sean de más calidad será la información recolectada.

Responsables: Este proceso se realiza entre el asesor y el Cliente. Liderado por el

asesor.

Salidas:
 Documentos con la valoración del riesgo para cada activos de información, donde
se detalla la probabilidad e impacto para cada dupla, vulnerabilidad-amenaza. El
riesgo resultante es el riesgo residual de los activos de información de la
organización.

6.1.9. ACEPTABILIDAD DEL RIESGO RESIDUAL

Entradas:
 Criterios de Aceptabilidad del riesgo.
 Valoración del riesgo realizada.

El riesgo residual valorado, resultante de la actividad anterior, debe ser comparado con el
nivel de de aceptación del riesgo determinado por el cliente, si este riesgo residual es
mayor que el nivel de aceptable, se deben determinar, con los dueños del proceso o
activos de información, formas para reducir el riesgo residual por debajo del nivel
determinado.
Entre las formas de reducción del riesgo se deben tener en cuenta:
  La aplicación de medidas. Esto conlleva al mejoramiento de las medidas existentes
o a la implementación de nuevas medidas.
 Evitar el riesgo. No realizar la actividad o cambiar la forma de hacerla de tal
manera que el riesgo disminuya.
 Transferir el riesgo a terceros, por ejemplo: seguros, proveedores.
 De forma conciente y objetiva aceptar el riesgo residual existente.

Esta actividad deber realizarse hasta cuando las medidas seleccionadas (existentes o
propuestas) hayan llevado el riesgo residual a un nivel por debajo del riesgo residual.

Responsables: Este proceso se realiza entre el asesor y el Cliente. Liderado por el

asesor.

Salidas:
 Riesgo residual definitivo para los activos de información de la organización.

6.1.10. PLAN DE TRATAMIENTO DE RIESGOS

Entradas:
 Matriz de riesgo residual.
 Inventario de medidas y el mejoramiento detectado.

El plan de tratamiento de riesgos detalla los proyectos o planes que debe realizar la
organización con el objeto:
 Llevar el riesgo residual a un nivel aceptable.
 Subir el nivel de seguridad de la información mediante el mejoramiento de la
madurez de las medidas ya implementadas, ya que el riesgo residual ya se
encuentra en un nivel aceptable.

Los proyectos y planes deben consolidar todo aquel mejoramiento sobre las medidas
detectado durante el inventario de estas y durante la valoración del riesgo, como a su vez
aquellas medidas nuevas a implementar.
Salidas:
 Plan de tratamiento de riesgos. Plantilla para la generación del plan de tratamiento
de riesgo.

6.1.11. DOCUMENTACIÓN FINAL / PRESENTACIÓN DE RESULTADOS

 La documentación final de esta actividad es la siguiente:

o Documentación de las medidas implementadas en la organización y su
estado de madurez.
o Documentos de trabajo (para cada proceso) para el levantamieto de
amenazas. Vulnerabilidades, valoración del riesgo. Formato
Valoracion_Riesgo_Ejemplo_1_0.xls.
o Informe final de riesgos y plan de tratamiento de riesgo.

7. REQUISITOS

 Inventario y Clasificación de Activos de Información.

8. LECCIONES APRENDIDAS

N/A

9. SUPOSICIONES

N/A

10. HISTORIA MODIFICACIONES

Versión 1.0
Fecha
Creado por
Revisado Por
Aprobado Por
Cambios realizados