Índice

1. INTRODUCCIÓN 03
2. CONCEPTOS CLAVES DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN 04

3. PASOS PARA EL ANÁLISIS DE RIESGOS

BASADO EN ACTIVOS DE INFORMACIÓN 07

4. VENTAJAS DEL SISTEMA DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN
13

Guía para hacer un análisis de riesgos basado en activos de información

01
INTRODUCCIÓN
Cuando hablamos de seguridad de la información, nos re-
ferimos, según la norma ISO 27000, al conjunto de proce-
dimientos, actividades, protocolos y políticas que permiten
proteger y preservar la confidencialidad, la integridad
y la disponibilidad de la información crítica, valiosa y
sensible que manejan las organizaciones, tanto al interior
como fuera de estas, disminuyendo así los posibles im-
pactos generados por el mal uso o el resguardo de esta.
Para lograr esto, cada vez más las organizaciones ponen
en práctica los lineamientos de la norma ISO 27001,
norma certificable, para la identificación, valoración y ges-
tión tanto de los activos de información como de los ries-
gos asociados a estos buscando así salvaguardar en todo
momento la información.
Guía para hacer un análisis de riesgos basado en activos de información
En este sentido, el análisis y evaluación de riesgos basado
en activos permite a las organizaciones que adoptan este
estándar internacional, identificar claramente todas aque-
llas amenazas que pueden impactar negativamente en los
objetivos de seguridad, así como en la imagen y reputación
de la empresa.
Para este análisis y evaluación de riesgos basado en activos,
se consideran por ejemplo: dispositivos, hardware y softwa-
re, bases de datos, archivos, ordenadores y sistemas de al-
macenamiento, incluso, personas y otros recursos críticos
que se deben proteger para garantizar la confidencialidad,
integridad y disponibilidad de la información.
En este ebook de la Academia Pirani podrás conocer sobre
conceptos claves de gestión de la seguridad de la informa-
ción, además, los pasos a tener en cuenta para realizar un
análisis de riesgos basado en activos de información en
tu organización y finalmente, te compartimos algunas de las
ventajas de contar con un adecuado Sistema de Gestión de
Seguridad de la Información (SGSI).
03
 02
CONCEPTOS CLAVES
DE GESTIÓN DE 1 2 3 4
SEGURIDAD DE
LA INFORMACIÓN

5 6 7 8

Para una buena gestión de la seguridad

de la información en las organizaciones,
es importante conocer y tener claridad
sobre algunos conceptos claves:

Guía para hacer un análisis de riesgos basado en activos de información 04

 1. Activo de información: es todo aquello que tiene algún
valor para la organización y por ende, debe protegerse. Los
1 2
activos pueden ser tangibles o intangibles, por ejemplo:
la infraestructura informática, los equipos auxiliares, las
redes de comunicaciones, las instalaciones y las personas,
principalmente aquellas que tienen acceso a información
crítica y sensible.
2. Confidencialidad: es una de las propiedades de la
información que se deben garantizar. Tiene que ver con
que la información no puede ser accesible ni divulgada
a quienes no estén autorizados, es decir, solo pueden
tener acceso quienes tengan un rol específico y cuenten
con los permisos.

3. Integridad: esta segunda propiedad de la información

3 consiste en mantener la integridad de los datos, tal como 4 4. Disponibilidad: es la tercera propiedad de la informa-
ción y se refiere a que esta debe estar siempre disponible
el emisor los originó, no puede haber manipulaciones o
para todo el personal que tiene la autorización de acceder
alteraciones por parte de terceros. En otras palabras, la
a ella.
información debe permanecer completa y exacta.

Guía para hacer un análisis de riesgos basado en activos de información 05

 5. Vulnerabilidad: se trata de una debilidad o falla en un siste-
ma de información que pone en riesgo la seguridad de la infor-
5 mación. Las vulnerabilidades dependen, en gran medida, de la
naturaleza de los sistemas, son un factor intrínseco a los activos,
por eso pueden depender del hardware, del software, de las
redes, del personal, de la infraestructura o de la organización.
Una vulnerabilidad puede ser: fallas en los diseños, errores de
configuración, falta de procedimientos y controles, personal sin
la formación adecuada, ausente o sin supervisión.
7 7. Incidente: consiste en uno o varios eventos de seguridad de
la información no deseados e inesperados que pueden com-
prometer de forma significativa las operaciones del negocio y
amenazar su seguridad.
Guía para hacer un análisis de riesgos basado en activos de información
6. Amenaza: es todo aquello que puede afectar / dañar la
seguridad de un sistema de información. Las amenazas a las
6 que se enfrenta la información de una organización son muy
variadas, por ejemplo: fallos de la infraestructura auxiliar,
fraude asistido por computadora, desconocimiento o mal
uso de la información por parte de los empleados, robo de
equipos, espionaje o vandalismo, etc.
8. Sistema de Gestión de Seguridad de la Información,
SGSI: se trata de una herramienta de gestión que permite
establecer, implementar, monitorear, revisar, mantener y
mejorar la seguridad de la información de una organiza-
8 ción para el logro de los objetivos del negocio.
En general, su principal objetivo es proteger los datos, pre-
servando su confidencialidad, integridad y disponibilidad
al interior de la empresa y a los stakeholders. El SGSI está
conformado por las políticas, procedimientos, lineamien-
tos, actividades y recursos asociados.
06
03 1 2

PASOS PARA EL
ANÁLISIS DE RIESGOS
BASADO EN ACTIVOS
DE INFORMACIÓN
3 4

Luego de haber definido algunos de los conceptos claves

relacionados con seguridad de la información, ahora
podrás conocer cada uno de los pasos recomendados
por la ISO 27001 para realizar un análisis de riesgos en tu 5 6
organización basado en los activos de información.

Guía para hacer un análisis de riesgos basado en activos de información 07

 1
Identificar y realizar el inventario de
activos de información
La identificación e inventario de los activos de informa-
ción es la base para el análisis y evaluación de riesgos
de seguridad de la información.
Esta etapa consiste en identificar cada uno de los acti-
vos que tienen algún valor para la organización y que
es importante proteger, esto incluye activos para el
procesamiento, transmisión, tratamiento o almacena-
miento de la información.
Y para esto, es necesario realizar un inventario que
considere datos como:
Guía para hacer un análisis de riesgos basado en activos de información
• Nombre del activo
• Descripción
• Tipo de activo
• Proceso al que está asociado
• Propietario
• Custodio
• Ubicación
En este punto es fundamental definir quién es el propie-
tario del activo, es decir, la persona o área responsable
de este y por ende, el que debe establecer e implementar
las medidas y controles para su adecuada protección.
Contar con este inventario, que debe mantenerse
actualizado, permite a las organizaciones tener claridad
de todos sus activos de información y tomar las medidas
necesarias para protegerlos.
08
 2

Valorar y clasificar los activos de

información según su criticidad
Una vez se tenga el inventario de los activos, el siguiente
paso es valorarlos y clasificarlos según su criticidad. Para esto
es necesario tener en cuenta las tres propiedades de la in-
formación: confidencialidad, integridad y disponibilidad,
es decir, cada una de estas debe ser calificada con variables
cuantitativas o cualitativas, por ejemplo:

• Bajo: 10%
• Medio: 50%
• Alto: 100%

Con esto se conoce la criticidad del activo y de esta manera

se puede clasificar:

Guía para hacer un análisis de riesgos basado en activos de información 09

 3 4
Identificar los riesgos de los activos
de información
El tercer paso para el análisis de riesgos basado en activos
de información es, precisamente, la identificación de los
riesgos a los que están expuestos los activos de la or-
ganización, así como las vulnerabilidades y amenazas que
pueden afectar su confidencialidad, integridad y disponibi-
lidad, además de la continuidad de la operación o la presta-
ción de los servicios.
Algunos riesgos de seguridad de la información pueden
ser: daños o alteraciones, pérdidas, destrucción lógica,
destrucción física, hackeo, secuestro de datos o eliminación.
Guía para hacer un análisis de riesgos basado en activos de información
Evaluar los riesgos de los activos
de información
Después de identificar los riesgos asociados a cada uno de
los activos de información identificados, lo siguiente es es-
tablecer tanto la probabilidad de ocurrencia, es decir la fre-
cuencia con la que se pueden materializar, como el impacto
que causarían a la organización si llegan a materializarse.
Algunos impactos que pueden generar los riesgos de seguri-
dad de la información son pérdidas financieras, interrupcio-
nes de la operación, daños a la imagen y reputación, entre
otros.
Al evaluar los riesgos se determina el riesgo inherente y de
acuerdo al nivel de calificación de cada uno, se priorizan,
por ejemplo a través de una matriz de riesgos, para estable-
cer los controles y medidas de mitigación más adecuadas.
10
 5 6

Tratamiento de los riesgos Realizar monitoreo y revisión del

Una vez se tiene el riesgo inherente para cada uno de los
activos y de haberlos ubicado en la matriz de riesgos, se les
debe dar un tratamiento. Para realizar este tratamiento hay
que definir, con base en el análisis de impacto, qué acción
se va a tomar con cada uno de estos:
sistema de seguridad de la información
Sumado a los anteriores pasos, teniendo en cuenta lo que
dice el estándar ISO 27001, es fundamental realizar un mo-
nitoreo y revisión periódica a todo el sistema de gestión de
seguridad de la información pues hacerlo permite:

• Asumir el riesgo: aceptarlo.

• Identificar rápidamente posibles incidentes.
• Reducir el riesgo: minimizarlo con la selección e
• Detectar fallas en los procedimientos.
implementación de controles.
• Evaluar y medir la eficacia y efectividad de los
• Transferir el riesgo: que otra entidad lo asuma.
procedimientos y controles.
• Evitar el riesgo: dejar de usar o eliminar el activo
• Realizar auditorías internas sobre el SGSI.
fuente en el que se produciría el riesgo.
• Analizar escenarios internos y externos que
pueden afectar la seguridad de los activos de
Generalmente, la acción de tratamiento más usada es la de
información.
reducir el riesgo a través de la definición e implementación
• Tomar decisiones de manera oportuna para
de controles que por un lado ayudan a disminuir la probabi-
garantizar en todo momento las tres propie-
lidad de ocurrencia y por otro, el impacto que causaría si se
dades de la información.
materializa el riesgo.

Al implementar los controles adecuados para proteger los

activos de información, se obtiene el riesgo residual.

Guía para hacer un análisis de riesgos basado en activos de información 11

¿CÓMO PUEDES REALIZAR DE MANERA SIMPLE
Y EFICIENTE ESTE ANÁLISIS DE RIESGOS
BASADO EN ACTIVOS DE INFORMACIÓN? Identificar y crear los riesgos de seguridad de la in-
formación, asociarlos directamente a los activos, a las
amenazas y vulnerabilidades. Además, puedes valorar
Una herramienta tecnológica como el sistema de gestión cada riesgo en su probabilidad y en su impacto.
de riesgos de seguridad de la información de Pirani,
Generar fácilmente reportes del perfil de riesgo orga-
ISMS, te ayudará a ti y a tu organización a gestionar más
nizacional tanto inherente como residual y otros repor-
fácilmente tanto los activos de información como los dife-
tes como el mapa de calor y la solidez de los controles.
rentes riesgos a los que estos están expuestos.

Crear objetivos y sus indicadores de cumplimiento

Entre otras funcionalidades, en ISMS de Pirani podrás:
Identificar los activos de información de tu orga-
nización y valorar la criticidad de cada uno de estos
teniendo en cuenta su confidencialidad, integridad
y disponibilidad.
Establecer los controles a implementar
para disminuir la probabilidad de ocurrencia o el
impacto que tendrían los riesgos en la continuidad
del negocio.
para un seguimiento eficaz.
Evaluar y monitorear los riesgos de seguridad de la in-
formación identificados y los controles implementados.
Crea ahora tu cuenta en Pirani y prueba durante 15
días gratis todas las funcionalidades que tenemos para
acompañarte a gestionar la seguridad de la información en
tu organización.

Reportar incidentes de seguridad de la informa-

ción que se presenten

Guía para hacer un análisis de riesgos basado en activos de información 12

04
VENTAJAS DEL SISTEMA
DE GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN
La información se ha convertido en uno de los principales
activos de las organizaciones, por eso, cada vez es más im-
portante protegerla y garantizar en todo momento sus tres
propiedades (confidencialidad, integridad y disponibilidad)
y un Sistema de Gestión de Seguridad de la Información,
SGSI, como el propuesto por la norma ISO 27001 es de gran
utilidad para este objetivo.
Entre otras ventajas, implementar un SGSI en las organi-
zaciones permite:
Disminuir el riesgo de que se produzcan pérdidas,
robos o corrupción en la manipulación de la infor-
mación.
Establecer una metodología que facilite la gestión
de la seguridad de la información.
Guía para hacer un análisis de riesgos basado en activos de información
Definir medidas de seguridad para que los clientes,
colaboradores y proveedores puedan acceder a la
información de manera segura y controlada.
Generar procesos y procedimientos óptimos ya que
ofrece garantías sobre qué se debe realizar, de qué
forma y quién debe interactuar en cada caso.
Promover la realización de auditorías externas de
forma periódica, esto fomenta la mejora continua
del sistema y de la organización.
Tener una garantía frente a clientes, socios estraté-
gicos y proveedores porque demuestra el compro-
miso que tiene la organización para garantizar la
confidencialidad, integridad y disponibilidad de la
información que le es entregada y que gestiona.
13
 Restablecer la continuidad de la operación o
la prestación del servicio en el menor tiempo
posible en caso de presentarse incidentes de
seguridad o ciberataques como phishing, ran-
somware, entre otros. De esta forma, la orga-
Y en tu organización, ¿ya cuentan con
nización minimiza las posibles pérdidas. un adecuado Sistema de Gestión de
Garantizar el cumplimiento de normas vigen- Seguridad de la Información?
tes sobre información personal y propiedad
Conoce cómo a través de ISMS de
intelectual.
Pirani podemos ayudar a tu
Mejorar la toma de conciencia por parte del
personal y la importancia de manejar y cuidar empresa a tenerlo y a cumplir la
correctamente la información que tienen a su norma ISO 27001.
disposición.

Es una ventaja competitiva para la organiza-

ción frente a sus competidores porque contar
con un SGSI ayuda a aumentar la imagen na-
cional e internacionalmente.

Guía para hacer un análisis de riesgos basado en activos de información 14

REFERENCIA
BIBLIOGRÁFICA

1. Norma ISO 27000

2. Norma ISO 27001

3. Escuela Europea de Excelencia: Cómo realizar una eva-

luación de riesgos basada en activos en ISO 27001

4. Instituto Nacional de Ciberseguridad - INCIBE: Análisis

de riesgos en 6 pasos

5. Curso Pirani: Gestión de Seguridad de la nformación

6. Curso Pirani: Riesgos de Seguridad de la Información y

Ciberseguridad

Guía para hacer un análisis de riesgos basado en activos de información 15

Guía para hacer un análisis de riesgos basado en activos de información 16