Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Activos de Información
1. TABLA DE CONTENIDO
2. GLOSARIO DE TÉRMINOS................................................................................................................. 3
3. OBJETIVO............................................................................................................................................... 3
4. ALCANCE ............................................................................................................................................... 4
7. REQUISITOS ........................................................................................................................................ 16
9. SUPOSICIONES ................................................................................................................................... 16
3. OBJETIVO
El presente documento tiene por objeto presentar los elementos necesarios para ser
utilizados en la formulación de las metodologías de los servicios del área de consultoría.
4. ALCANCE
5. MARCO TEÓRICO
6. DESARROLLO METODOLÓGICO
El objetivo de esta actividad es seleccionar los activos de información a los cuales se les
realizará el análisis de riesgos, esta selección se hace sobre el inventario de activos de
información.
Entradas:
Inventario y clasificación de Activos de Información:
Este insumo proviene del proceso de Inventario y Clasificación de Activos,
elaborado previamente como requisito exigido por la norma ISO 27001:20051.
Responsables: Esta actividad es realizada entre el asesor y el Cliente.
Criterio de Selección de Activos de Información:
1
Metodología para el Inventario y Clasificación de Activos de información, que tiene como salida el
documento en Excel Inventario_y_clasificacion.xls
Este criterio debe estar definido en función de los niveles de valoración de las
propiedades2 de los activos de información definidos en el punto anterior, por
ejemplo, un criterio de selección puede ser aquellos activos cuya disponibilidad sea
mayor a Alta. Es recomendable que una vez el criterio sea determinado, éste sea
formalizado mediante un acta o correo.
Responsables: Estos criterios los define el Cliente con el apoyo del asesor.
Salidas:
Como resultado de esta actividad tenemos un subconjunto del inventario de
activos de información, que cumple con el criterio de selección acordado con el
cliente y al cual se le realizará el análisis de riesgos.
Aunque el asesor cuenta con una metodología base de riesgos basada en la norma
ISO/IEC 27005:2008, esta actividad se hace necesaria con el objetivo de lograr una
integración con la metodologías ya implementadas por el cliente, lograr el menor impacto
(debido a una nueva metodología a desarrollar), y así la metodología a su vez cumpla con
los requisitos (legales y contractuales) particulares del negocio.
La metodología resultante debe cumplir con los siguientes requisitos exigidos por la norma
ISO/IEC 27001:2005:
Debe identificarse con las necesidades de seguridad de la información del negocio,
y con los requerimientos regulatorios y legales.
Debe ajustarse al SGSI.
Debe contar con un criterio para la aceptación del riesgo.
Debe asegurar un resultado comparable* y reproducible.
Identificar los AI.
2
Entre estas se encuentran: Confidencialidad, Integridad, Disponibilidad, no repudio y otras que el
Identificar el impacto de la perdida de confidencialidad, integridad y disponibilidad
sobre los AI.
Identificar las amenazas sobre los AI.
Identificar las vulnerabilidades que explotaran esas amenazas.
Valorar los impactos de la materialización del riesgo. (V*A).
Valorar la probabilidad de la ocurrencia. (V*A).
Identificar los controles implementados.
Estimar el nivel de riesgo.
Determinar si el riesgo es aceptable o requiere tratamiento.
Identificar y evaluar las opciones de tratamiento del riesgo.
Seleccionar los controles para el tratamiento del riesgo.
7
CE 052 de la SFC: Requerimientos mínimos de seguridad y calidad en el manejo de información a
través de medios y canales de distribución de productos y servicios para clientes y usuarios.
8
Norma ISO 27001:2005: Information technology - Security techniques - Information security
management systems – Requirements. Especifica los requisitos necesarios para establecer,
implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)
según el ciclo PHVA (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas
descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la revisión de la norma
británica British Standard BS 7799-2:2002.
9
Riesgo Inherente: Es el nivel de riesgo existente antes de tener en cuenta la aplicación de
controles existentes en la organización.
10
Riesgo Residual: Nivel de Riesgo teniendo en cuenta la aplicación de controles existentes en la
organización.
La segunda opción, sólo el riesgo residual, es una forma rapida de realizar las
valoraciones y una opción facil para el usuario final ya que refleja la realidad, la
existencia del riesgo en conjunto con los controles implementados.
Definición de Matrices de Valoración:
El objetivo a lograr es establecer un esquema de medición para:
La probabilidad que una amenaza explote una vulnerabilidad,
y el impacto generado por el evento anterior.
Responsables: Esta actividad es definida por el cliente con el apoyo del asesor.
Salidas:
Como resultado de este proceso, se tiene la metodología adaptada a las
necesidades del cliente, así como las escalas y matrices necesarias para la
implementación de la misma.
Entradas:
Catálogo de Vulnerabilidades y amenazas.
11
Catálogo de Vulnerabilidades y Amenazas, alineado con la norma ISO 27001:2005 (Véase en H)
Responsables: Este proceso se realiza entre el asesory el Cliente.
Salidas:
Documento donde se detalla cada activo de información con sus vulnerabilidades.
Entradas:
Catálogo de Vulnerabilidades y amenazas.
Salidas:
Documento donde se detalla cada activo de información con sus vulnerabilidades y
para éstas, las amenazas que pueden explotar cada una de las vulnerabilidades.
Entradas:
Formatos de identificación de Medidas
12
Catálogo de Vulnerabilidades y Amenazas, alineado con la norma ISO 27001:2005 (Véase en H)
Informe de Análisis GAP ISO 27001:2005
Tecnología de la información.
Legales.
Revisoría fiscal.
Logísticos.
Seguridad física
Recursos humanos.
Y otros que se considere necesario de acuerdo al planteamiento de la norma.
Salidas:
Inventario de medidas y su estado de madurez.
Entradas:
Identificación de medidas
El objetivo de esta actividad es realizar una preselección de medidas de acuerdo a las
vulnerabilidades presentadas en el cliente, así a la hora de realizar la valoración del riesgo,
el cliente no tendrá que revisar todas las medidas para determinar cual aplica a la
vulnerabilidad sino que chequeará sólo aquellas que el consultor ha preseleccionado.
Salidas:
Medidas seleccionadas para cada una de la vulnerabilidades encontradas.
Entradas:
Vulnerabilidades establecidas para los activos de información.
Amenazas seleccionadas para las vulnerabilidades.
Inventario de Activos que hacen parte del análisis de riesgo.
Salidas:
Formatos por proceso en el cual se detallan por activo de información las posibles
vulnerabilidades y amenazas aplicables, formato preparado para la valoración del
riesgo por parte de los pertenecientes al proceso particular. Formato
Valoracion_Riesgo_Ejemplo_1_0.xls
Entradas:
Documentos para la valoración del riesgo de los activos de información.
Inventario de medidas.
Escalas de valoración de la probabilidad y el impacto.
Valoración del riesgo puro y residual: En este tipo de valoración se realiza una
valoración inicial sin tener en cuenta las medidas existentes. Posteriormente se
seleccionan, del inventario de medidas obtenido anteriormente, cuales de ellas
pueden ayudar a reducir el riesgo analizado y se realiza una segunda valoración
teniendo en cuentas las medidas seleccionadas, esta segunda valoración es el
riesgo residual.
Valoración sólo del riesgo residual: Esta opción plantea sólo la valoración del riesgo
residual, es decir la probabilidad que una amenaza explote una vulnerabilidad y el
impacto causado teniendo en cuenta las medidas actualmente implementadas en
la organización.
Cualquiera de la dos opciones son validas, la primera brinda información sobre que tanto
las medidas implementadas ayudan a reducir el riesgo de la organización, lo anterior a
cambio del costo (casi el doble) en tiempo para la realización de la actividad.
Estas valoraciones las debe realizar el dueño del activo de información o el dueño del
proceso al cual pertenece el activo de información. Para esta actividad se debe utilizar el
formato Valoracion_Riesgo_Ejemplo_1_0.xls. Es recomendable para el levantamiento de
información la realización de talleres, en los cuales los usuarios conocedores del proceso,
determinen la información necesaria. Para esta actividad es un factor crítico la correcta
selección del los funcionarios que realizarán la valoración, entre más conocedores del
proceso sean de más calidad será la información recolectada.
Salidas:
Documentos con la valoración del riesgo para cada activos de información, donde
se detalla la probabilidad e impacto para cada dupla, vulnerabilidad-amenaza. El
riesgo resultante es el riesgo residual de los activos de información de la
organización.
Entradas:
Criterios de Aceptabilidad del riesgo.
Valoración del riesgo realizada.
El riesgo residual valorado, resultante de la actividad anterior, debe ser comparado con el
nivel de de aceptación del riesgo determinado por el cliente, si este riesgo residual es
mayor que el nivel de aceptable, se deben determinar, con los dueños del proceso o
activos de información, formas para reducir el riesgo residual por debajo del nivel
determinado.
Entre las formas de reducción del riesgo se deben tener en cuenta:
La aplicación de medidas. Esto conlleva al mejoramiento de las medidas existentes
o a la implementación de nuevas medidas.
Evitar el riesgo. No realizar la actividad o cambiar la forma de hacerla de tal
manera que el riesgo disminuya.
Transferir el riesgo a terceros, por ejemplo: seguros, proveedores.
De forma conciente y objetiva aceptar el riesgo residual existente.
Esta actividad deber realizarse hasta cuando las medidas seleccionadas (existentes o
propuestas) hayan llevado el riesgo residual a un nivel por debajo del riesgo residual.
Salidas:
Riesgo residual definitivo para los activos de información de la organización.
Entradas:
Matriz de riesgo residual.
Inventario de medidas y el mejoramiento detectado.
El plan de tratamiento de riesgos detalla los proyectos o planes que debe realizar la
organización con el objeto:
Llevar el riesgo residual a un nivel aceptable.
Subir el nivel de seguridad de la información mediante el mejoramiento de la
madurez de las medidas ya implementadas, ya que el riesgo residual ya se
encuentra en un nivel aceptable.
Los proyectos y planes deben consolidar todo aquel mejoramiento sobre las medidas
detectado durante el inventario de estas y durante la valoración del riesgo, como a su vez
aquellas medidas nuevas a implementar.
Salidas:
Plan de tratamiento de riesgos. Plantilla para la generación del plan de tratamiento
de riesgo.
7. REQUISITOS
8. LECCIONES APRENDIDAS
N/A
9. SUPOSICIONES
N/A
Versión 1.0
Fecha
Creado por
Revisado Por
Aprobado Por
Cambios realizados