Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Página 1 de 15
Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17
CONTENIDO
1. INTRODUCCIÓN…………………………………….……….…………………………………………………….3
2. OBJETIVO……….…………………………………….……….…………………………………………………….3
3. BASE NORMATIVA……………………….……….……….…………………………………………………….3
4. DEFINICIONES……………………………..…………….………………………………………………………...3
5. DESARROLLO DE LA METODOLOGÍA……….…………….……………………………………………..4
6. CONCLUSIONES……………………..………………………………………….………………………….……15
7. REFERECIAS BIBLIOGRÁFICAS……….…………………………………….………………………………15
Página 2 de 15
Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17
1. INTRODUCCIÓN
El presente documento pretende dar a conocer y desarrollar las diferentes etapas
que involucra una gestión de riesgos de seguridad de la información para una
organización.
2. OBJETIVO
Definir las actividades para la ejecución metodológica de una Gestión de Riesgos
de Seguridad de la Información.
3. BASE NORMATIVA
• ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la Información
• ISO 31000:2018 Gestión del Riesgo
4. DEFINICIONES
4.1. Activo de Información: Es todo recurso que contiene, transmite, almacena
y/o permite procesar la información de la organización; entre ellos tenemos:
laptop, celulares, servidor de archivos, manuales, entre otros.
4.2. Confidencialidad: Propiedad que determina que la información no esté
disponible, ni sea divulgada a personas o procesos no autorizados.
4.3. Integridad: Propiedad de salvaguardar la exactitud e integridad de los
activos.
4.4. Disponibilidad: Propiedad de estar disponible y utilizable cuando se requiera.
4.5. Riesgo: Es la probabilidad de que una amenaza en particular explote una
vulnerabilidad causando un impacto negativo sobre la organización y los
activos de información.
4.6. Probabilidad: Es la posibilidad de que un evento cualquiera ocurra o no.
4.7. Vulnerabilidad: Debilidad de un activo que pueden ser explotadas por una o
más amenazas.
4.8. Amenaza: Causa potencial de un incidente que puede resultar en daño al
sistema, información u organización.
4.9. Impacto: Es la consecuencia de la explotación de una vulnerabilidad por una
amenaza, generando pérdida en la confidencialidad, integridad y
disponibilidad de la información.
Página 3 de 15
Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17
5. DESARROLLO DE LA METODOLOGÍA
5.1. Parametrización
Niveles de Riesgos y Criterios de Aceptación
Se reconoce los siguientes niveles de riesgos: Inaceptable, Tolerable y
Aceptable.
Inaceptable
Tolerable
Aceptable
Los riesgos que podrán ser aceptados y no pasar a ser tratados (Plan de
Tratamientos de Riesgos) son aquellos que cumplan las siguientes
condiciones:
• El costo de tratar el riesgo se estima como mayor a la pérdida o impacto
económico generado por la ocurrencia del mismo.
• No se cuenta con recursos y/o presupuesto para implementar el control
propuesto.
• Limitaciones técnicas.
Identificación de Activos
Para cada proceso identificado se elabora una lista de los activos de
Información más relevantes, se debe considerar como mínimo los siguientes
campos:
• Proceso.
• Activo de Información.
• Categoría (ver tabla 3, no está limitado a estas categorías).
• Valor más relevante (ver tabla 4).
• Propietario.
Página 4 de 15
Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17
Proceso
Categorías de Activo:
Categoría Detalle
Información lógica
Información Información física
Información hablada
Otro tipo de información
Software comercial o herramientas
Software desarrollado por terceros
Software Software desarrollado internamente
Software de administración de Base de Datos
Utilitarios
Otro software
Equipo de procesamiento
Equipo de comunicaciones
Hardware Medio de almacenamiento
Mobiliario y equipamiento
Otros equipos
Procesamiento y comunicaciones
Servicios Soporte Informático
Servicios generales
Servicio Externo
Clientes
Empleados
Personas Accionistas
Proveedores
Personal Externo
Imagen y
Imagen y Reputación
Reputación
Tabla 3: Categorías de Activo
Página 5 de 15
Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17
El enunciado y descripción del riesgo debe ser claro, con la finalidad que sea
entendible para las partes interesadas.
Enunciado y Descripción
Código Significativo
del Riesgo
Página 6 de 15
Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17
Eventos adversos:
N° Evento Adverso Categoría
1 Acceso no autorizado a la información
2 Modificación no autorizada de la información
3 Eliminación no autorizada de la información
4 Robo de activos contenedores de información
Inadecuada eliminación de activos contenedores de
5
información
6 Corrupción de datos por error de procesamiento
Información
7 Uso extralaboral de la información
8 Ataques de hacking/cracking sobre la información
9 Virus informáticos que alteran o eliminan la información
10 Transmisión y/o recolección incompleta de información
11 Intercepción de las comunicaciones
12 Divulgación no autorizada
13 Fuga de Información
Adulteración intencional del software (bombas lógicas,
14
sabotaje)
Cambios no autorizados sobre el software
15
(mantenimientos)
16 Actualizaciones no controladas del software (parches)
17 Instalación de software no licenciado o autorizado
18 Copia no controlada del código fuente del software Software
19 Saturación de la operación del software
20 Hacking/cracking
21 Virus informáticos
22 Error Humano en los cambios sobre el software
23 Incompatibilidad en la operación con otros softwares
24 Corto Circuito
25 Filtraciones de Agua
26 Filtración de Polvo
27 Corrosión de equipos
28 Congelación de equipos
29 Desconexión de equipos
30 Saturación de humedad en ambientes Hardware
31 Fallas del sistema de aire acondicionado
32 Radiación electromagnética
33 Robo de equipos o de sus componentes
34 Incumplimiento del plan de mantenimiento
35 Uso inadecuado de los equipos
36 Desconfiguración del equipo
Página 7 de 15
Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17
Página 8 de 15
Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17
Riesgo
Página 9 de 15
Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17
N° Probabilidad Descripción
Ha sucedido y es casi cierto que vuelva a
5 Casi Cierto suceder, porque no hay forma de evitar
su ocurrencia.
Ha sucedido o es probable que suceda,
4 Probable porque las condiciones actuales no
pueden evitar su ocurrencia.
Ha sucedido o es poco posible que
3 Posible suceda, porque las condiciones actuales
pueden evitar su ocurrencia.
Ha sucedido en el sector, pero no ha
2 Improbable
sucedido en nuestra organización.
No ha sucedido en el sector ni en nuestra
1 Raro
organización.
Tabla 8: Probabilidad
N° Impacto Descripción
Ocasiona una crisis o puede provocar un
5 Catastrófico
cierre de la organización.
No ocasiona una crisis, pero si llega
4 Significativo afectar significativamente a la
organización.
Si bien no afecta significativamente a la
3 Moderado organización ocasiona un daño
moderado.
Si bien ocasiona un daño a la
2 Menor organización, pero es considerado como
menor.
El daño a la organización es desestimado
1 Insignificante
y no se toma en cuenta.
Tabla 9: Impacto
Página 10 de 15
Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17
Catastrófico Inaceptable
IMPACTO Significativo Tolerable
Moderado Aceptable
Menor
Insignificante
Improbable
Casi Cierto
Probable
Posible
Raro
PROBABILIDAD
Luego de haber determinado el valor del Nivel del Riesgo, se debe identificar
aquellos riesgos que tengan el nivel “Inaceptable” y “Tolerable”, éstos
pasarán a la siguiente fase: Tratamiento de Riesgos, debido a que se trata de
riesgos que de materializase pueden impactar negativamente a la
organización, por consiguiente, es pertinente realizar un Plan de Tratamiento
de Riesgos.
Aquellos riesgos que tengan el nivel “Aceptable”, son riesgos con los que la
organización puede convivir, pero en constante monitoreo porque pueden
variar en el tiempo.
Página 11 de 15
Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17
Opción de Tipo de
N° Acción Propuesta Responsable
Tratamiento Tratamiento
Opciones de
Detalle
Tratamiento
Convivir con el riesgo, es decir, no tomar medidas
Retener frente a la misma, cabe mencionar que esta
decisión debe ser informada.
Reducir el impacto y/o la probabilidad de
Modificar ocurrencia mediante la implementación o mejora
de controles.
No realizar la actividad o proceso relacionado al
Evitar
riesgo.
Página 12 de 15
Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17
N° Tipo de Tratamiento
1 Mitigar Probabilidad
2 Mitigar Impacto
Mitigar Probabilidad e
3
Impacto
Tabla 13: Tipos de Tratamiento
Nivel del
Probabilidad Impacto
Riesgo
(Residual) (Residual)
(Residual)
Página 13 de 15
Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17
Enunciando y
Código del Acción Fecha de
N° Proceso Descripción Responsable Estado
Riesgo Propuesta Atención
del Riesgo
Página 14 de 15
Asignatura Datos del alumno Lugar y Fecha
Análisis de Riesgos Apellidos: Peña Acosta Lima, Perú
Informáticos Nombre: Carlos Alonso 2021-07-17
6. CONCLUSIONES
La gestión de riesgos es un proceso crítico e importante dentro de la organización para
cumplir con sus objetivos, para ello, es de suma importancia conocer a la organización
y sus partes interesadas.
7. REFERENCIAS BIBLIOGRÁFICAS
Wikipedia. ISO 31000. Recuperado el 16 de julio de 2021 de
https://es.wikipedia.org/wiki/ISO_31000
Página 15 de 15