Principios usados para la valoración de

activos
• El principio de confidencialidad se refiere a la propiedad de la
información, que pretende garantizar el acceso a la misma,
únicamente de las personas o sistemas autorizados.
• La integridad es un atributo de la información importante, ya que sin
este no sería posible la comunicación y la toma de decisiones para la
organización.
• La disponibilidad es tener la certeza de que la información va a estar
disponible en el momento que requiera ser accedida, por las
personas que tienen la autorización.
Identificación y Tasación
•
de activos Inventario de activos mediante observación y
levantamiento de información (trabajo de
campo)
• Metodología de las elipses. Consiste en la
identificación y tasación de los activos, se
emplea para ello la escala de Likert.
• La pregunta a efectuarse es: ¿Cómo una
perdida o una falla en un determinado activo
afecta la confidencialidad, integridad y
disponibilidad?.
• Luego se procede a la identificación de los
propietarios de los activos, quien es
responsable de definir la clasificación de
seguridad y derechos de acceso al activo, así
como de revisar periódicamente los derechos
de acceso y clasificación de seguridad.
• Además se debe definir documentar e
implementar reglas para el uso aceptable de
activos describiendo acciones permitidas y
prohibidas en su uso.
Identificación de
amenazas

• Las organizaciones están expuestas a varios

tipos de amenazas.
• Se debe identificar, analizar y determinar la
probabilidad de materialización.
• Para la identificación, los propietarios de los
activos definen antecedentes en los que se
hayan visto afectadas la confidencialidad,
integridad y disponibilidad de los activos.
Identificación de
vulnerabilidades
• Ahora se procede con la identificación de las
vulnerabilidades que pueden ser
explotadas, y su posterior impacto para los
activos de información definidos en el SGSI.
• En caso de que una vulnerabilidad, pueda
ser explotada por una amenaza, se
determinará un impacto ya sea alto,
mediano o bajo, generando condiciones
negativas en las actividades diarias, perdida
de la continuidad del negocio y el
incumplimiento de los objetivos y de la
misión de la organización.
Tormenta de ideas –
“Brainstorming”.
• La meta de la tormenta de ideas es
obtener una lista completa de los
riesgos del proyecto. El equipo del
proyecto suele realizar tormentas de
ideas, a menudo con un grupo
multidisciplinario de expertos que no
pertenecen al equipo.

Esta foto de Autor desconocido está bajo licencia CC BY-SA-NC

Técnica Delphi.
• Se separa físicamente a los miembros del
grupo y un coordinador general contacta
a todos los miembros para que opinen
sobre potenciales riesgos, manteniendo el
anonimato de los involucrados.
• El coordinador le informa a los
participantes las razones que justifican
distintas opiniones sobre los riesgos
identificados y les solicita que reevalúen
su respuesta para profundizar el análisis.
• Este proceso de retroalimentación
iterativo continúa hasta que no hay más
cambios que realizar. Esta foto de Autor desconocido está bajo licencia CC BY-SA-NC
Entrevistas.
• Entrevistas.
Entrevistar a participantes
experimentados del proyecto,
interesados y expertos en la materia
puede servir para identificar riesgos.
Las entrevistas son una de las
principales fuentes de recopilación de
datos para la identificación de riesgos.
• Identificación de la causa.
Es una investigación de las causas
esenciales de los riesgos de un
proyecto. Refina la definición del riesgo
y permite agrupar los riesgos por causa.
Esta foto de Autor desconocido está bajo licencia CC BY-SA-NC
Técnicas de
diagramación.
• Diagramas de causa y efecto.
Estos diagramas también se conocen como
diagramas de Ishikawa o de espina de pescado,
y son útiles para identificar las causas de los
riesgos.
• Diagramas de flujo o de sistemas.
Estos diagramas muestran cómo se relacionan
los diferentes elementos de un sistema, y el
mecanismo de causalidad.
• Diagramas de influencias.
Estos diagramas son representaciones gráficas
de situaciones que muestran las influencias
causales, la cronología de eventos y otras
relaciones entre variables y resultados.
Esta foto de Autor desconocido está bajo licencia CC BY-NC-ND
Otras técnicas
• Análisis mediante Lista de Control
Las listas de control para identificación de riesgos pueden
ser desarrolladas basándose en información histórica y
en el conocimiento que ha sido acumulado de proyectos
anteriores similares y de otras fuentes de información.
• Análisis de Asunciones
Todos los proyectos se conciben y desarrollan sobre
la base de un grupo de hipótesis, escenarios o
asunciones. El análisis de asunciones es una herramienta
que explora la validez de las asunciones según su
aplicación en el contexto. Identifica los riesgos debidos al
carácter inexacto, inconsistente o incompleto de las
asunciones.
• Revisiones de Documentación
Se puede realizar una revisión estructurada de la
documentación, incluidos planes, asunciones, archivos de
aspectos de gestión anteriores y otra información.
Esta foto de Autor desconocido está bajo licencia CC BY-SA-NC
Criterios de probabilidad Probabilidad
e impacto. • La probabilidad de un
incidente refleja la
posibilidad de que una
amenaza se materialice, y
explote una vulnerabilidad,
se puede verificar revisando
los eventos previos y
sustentando dicha
información con los usuarios
y administradores la
frecuencia de ocurrencia de
dichos eventos.
Criterios de probabilidad
e impacto.
• Ahora se determina el
impacto que se daría,
cuando una vulnerabilidad
llega a ser explotada por una
amenaza, teniendo en
cuenta los valores de
criticidad asignados
anteriormente a cada uno de
los activos.
Mapa de riesgos o mapa • Cuando las vulnerabilidades
de calor. y amenazas que puedan
afectar a los activos de la
unidad de informática has
sido analizadas y evaluadas,
se procede a realizar la
valoración de los riesgos,
usando como referencia la
norma ISO/IEC 27005, la cual
tiene como criterios la
probabilidad que una
amenaza explote una
vulnerabilidad y el impacto
que tendría al materializarse
 • El apetito es el nivel de rirsgo que la empresa quiere
aceptar y su tolerancia sera la desviacion respecto a
Tolerancia al ese nivel.
• La capacidad sera el nivel maximo de riesgo que una
riesgo. organizaciòn puede soportar en la persecusión de sus
objetivos.
Metodologías para
cálculo
• Top-down, basado en establecer el
apetito del riesgo desde el mas alto nivel
organizativo, alineado a los objetivos
estratégicos, comunicándose luego al
resto de la organización estableciendo
distintos niveles para las distintas
instancias de la organización.
• Botton – UP define el apetito del riesgo
al mínimo nivel de decisión dentro de una
organización para posteriormente
ascender a lo largo de la estructura
organizativa. Hasta consolidarse en un
apetito de riesgo global.
Evaluación del riesgo

• En base al concepto sobre la explotación del riesgo en cuanto a las

pérdidas materiales, económicas o de continuidad, es necesario definir
el riesgo, comprendiendo su naturaleza y la afectación que podrían
tener los activos de información y a los diferentes procesos o servicios.
• Se debe usar la evaluación de riesgos, asignando valores de
probabilidad, impacto e identificando los valores más altos para poder
darles el tratamiento respectivo y así lograr la reducción o eliminación
de los mismos.
Evaluación del riesgo • El proceso de evaluación de
riesgos debe ser realizado
periódicamente para validar la
clasificación asignada a los
mismos, para verificar que a
los riesgos se les haya dado el
respectivo tratamiento y sean
reducidos a niveles mínimos
• Finalmente se obtendrá una
retroalimentación, para la
toma de decisiones y
estrategias para nuevas
acciones, que permitan reducir
el riesgo.
Evaluación
del riesgo
Clasificación de los riesgos usando el
mapa de calor
Controles y riesgo • De acuerdo con al análisis realizado
sobre los activos de información,
residual. sus amenazas, vulnerabilidades,
probabilidad e impacto, se ha
establecido que el nivel de riesgo
al que están expuestos dichos
activos es elevado. Por lo tanto, es
importante determinar un
conjunto de políticas de seguridad
de la información, que sean
establecidas y aprobadas por la
máxima autoridad
• Estas medidas se especifican
mediante las políticas y controles
de seguridad de la información. Se
considera como base los dominios,
objetivos de control y controles del
anexo A de la norma ISO 27001.
Riesgo Residual

• Los profesionales de riesgos saben que nunca se podrán eliminar todos los riesgos,
sobre todo cuando se habla de seguridad de la información. El riesgo residual es
inevitable, pero la organización necesita saber exactamente cuáles son esos riesgos y
cuál es su nivel después de aplicar el tratamiento planificado.
• La evaluación del riesgo residual en ISO 27001 se efectúa procediendo de la misma
forma que con la identificación de los riesgos para la seguridad de la información.
Utilizamos las mismas herramientas, metodologías y escalas de evaluación. La gran
diferencia es que ahora, además, debemos establecer el verdadero impacto de los
controles y las acciones destinadas a mitigar los riesgos que se han implementado.
Riesgo Residual

Cuando ya hemos logrado identificar los riesgos residuales, nos encontramos con tres opciones
diferentes:
• Es posible que el nivel de riesgo residual se encuentre por debajo de los niveles aceptables.
Entonces no será necesario emprender ninguna otra acción. La organización
simplemente aceptará ese nivel de riesgo y convivirá con él.
• El nivel de riesgo supera los límites tolerables. En este caso es preciso implementar acciones
o controles más eficaces para tratar el riesgo residual y mitigar su impacto.
• El coste de reducir o mitigar el riesgo residual es tan alto que supera los costes que asumiría
la organización si el riesgo ocurriera. Para esta situación lo más indicado es que la
organización acepte el nivel de riesgo. Corresponde, por supuesto, a la alta
dirección tomar la decisión final sobre los
niveles de riesgo residual a los que estará
expuesta la organización.
Plan de tratamiento de riesgos.

• Una vez que se han tomado las decisiones al tratamiento del riesgo, las actividades para poder
implantar tienen que ejecutarse.
• Es necesario identificar y planear las las activdades.
• El plan contiene lo siguiente:
• Actividades identificadas
• Desagregarse en subactividades
• Asignar responsabilidades
• Estimar los requerimientos de recursos
• Defnir los entregables del plan
• Determinar las fechas criticas
• Establecer el monitoreo y supervision
• Se trata de convertir el plan en un instrumento para gestionar un proyecto y debe manejarse como
tal.