Valoración de activos intangibles para tiendas por departamento ...
Tema 4- Valoración de Activos
-
Upload
sebas-tian-p -
Category
Documents
-
view
440 -
download
0
Transcript of Tema 4- Valoración de Activos
1
PROGRAMA DE FORMACIÓN
GESTION DE LA SEGURIDAD
INFORMATICA
ACTIVIDAD DE APRENDIZAJE 3:
Informe valoración de riesgos del
sistema de información
Introducción
El siguiente material de formación,
busca dar a conocer los conceptos de El
Riesgo y las fases necesarias para
valorar el los activos de información de
la organización.
Descripción material del programa
El material de formación propuesto para
la actividad de aprendizaje 3, busca
describir de una forma fácil y práctica
los temas a desarrollar con el fin que el
Aprendiz realice satisfactoriamente las
actividades propuestas en la Unidad 3
del curso.
Contenido Tema 1: informe procesos críticos y
riesgos de seguridad de la información 1
¿Qué es Riesgo? .............................. 1
Clasificación de Riesgos ................... 1
Fases para la Valoración del Riesgo 1
Identificación de Riesgos .................. 2
Identificación de Controles ................ 2
Valoración de Riesgos ...................... 3
Riesgo Inherente ............................... 4
Riesgo Marginal ................................ 4
Tema 1: informe de procesos críticos
y riesgos de seguridad de la
información
¿Qué es riesgo? Un riesgo en seguridad informática, es
un evento incierto el cual, puede
producir efectos positivos o negativos
sobre los activos de la organización.
Dentro de las características de un
riesgo se pueden mencionar:
- Situacionales, varían de una
situación a otra.
- Interdependiente, al tratar un
riesgo puede provocar otro riesgo
o aumentar su impacto.
- Magnitud.
- Tiempo.
Clasificación de riesgos
Los riesgos se clasifican en:
- Fuentes de riesgos internos: Sus
fuentes se dan dentro de la
organización.
- Fuentes de riesgos externo: Sus
fuentes se dan fuera de la
organización.
Fases para la valoración del riesgo
Para realizar la valoración del riesgo, se
2
debe identificar los activos de
información de la empresa, y determinar
el valor de éstos. Con estos elementos,
se procede a identificar el grado de
exposición e impacto que puede generar
a la organización, si los activos son
alterados de alguna forma.
Para llevar a cabo el proceso de
valoración del riesgo, se deben de tener
en cuenta las siguientes fases:
1.identificación de riesgos. 2.
identificación de controles.
Identificación de riesgos
En esta fase, se determina para cada
uno de los activos de la organización,
las amenazas a las que está expuesto
el activo y se da prioridad al activo en
riesgo (en confidencialidad,
integridad, disponibilidad) que tenga
mayor valor para la organización.
Identificación de controles
En esta fase, se define, diseña y se
realiza seguimiento a los controles
que permitan tratar y evaluar los
riesgos que se deban implementar
para mitigar el impacto de las
amenazas identificadas en la primera
fase.
Los Controles tienen una escala
cualitativa:
- Muy Adecuado
- Adecuado
- Moderado
- Débil
- Muy Débil
Los cuales se cuantifican en:
- Eficiencia: del 10% al 90%
- Marginalidad: entre 0.1 y 0.9
(véase. tabla 1).
FUENTE: (Caviedes, Prado, muñoz,
(Sin fecha)
Para llevar a cabo la valoración del
riesgo en cuanto a su eficacia, se debe
Cualificación
Consideración Eficienci
a
Marginalida
d
Muy Adecua
do
El control establecido tiene un diseño fuerte, es automático y se comprueba su efectividad
90% 0.1
Adecuado
El control establecido tiene un diseño fuerte, no es automático, se comprueba su efectividad
70% 0.3
Moderado
El control establecido tiene un diseño fuerte, no es automático, no se comprueba su efectividad
50% 0.5
Débil El control establecido no tiene un diseño fuerte, no es automático, pero se comprueba su efectividad
30% 0.7
Muy Débil
El control establecido no tiene un diseño fuerte, no es automático, no se comprueba su efectividad
10% 0.9
Tabla1.Evaluación del control del riesgo.
3
considerar la fortaleza del control que se
establece para mitigar el riesgo, el grado
de automatización y, si se tienen o no
registros de la eficiencia del control
establecido.
Valoración de riesgos
En esta fase, se debe de considerar la
probabilidad de que la amenaza que se
identifica ocurra, e impacte el activo.
Para determinar la probabilidad de que
ocurra la amenaza se establecen las
siguientes frecuencias:
- Nada Frecuente
- Poco Frecuente
- Normal
- Frecuente
- Muy Frecuente
A los cuales se les asigna un valor
cualitativo entre 0.2 y 1. (véase, tabla 2).
Para determinar el impacto del activo en
cuanto a la probabilidad de ocurrencia,
se determina la siguiente degradación:
- Insignificante
- Menor
- Moderado
- Mayor
- Catastrófico
A los cuales se les asigna un valor entre
0.2 y 1(Véase. Tabla 3).
Valor Degradación Ocurrencia
0.2 insignificante El activo no sufre daños que impidan su operación
0.4 menor El activo sufre daños y puede continuar operando
0.6 moderado El activo sufre daños y su operación es restringida
0.8 mayor El activo sufre daños que impiden su operación y puede recuperar dentro del tiempo tolerable para la operación
1 catastrófico El activo sufre daños irreparables y la operación se altera considerablemente
Al identificar la probabilidad de que
ocurra una amenaza (tabla 2) y la
Valor Frecuencia Ocurrencia
0.2 nada frecuente
no ha sucedido
0.4 poco frecuente
sucede cada 10 años
0.6 normal sucede una vez al año
0.8 frecuente sucede mensualmente
1 muy frecuente
sucede diariamente
Tabla 2. Probabilidad de que Ocurra una
Amenaza
FUENTE: (Caviedes, Prado, muñoz,
(sin fecha)
FUENTE: Caviedes, Prado, muñoz, (Sin
Fecha)
Tabla 3. Estimación de Impacto
4
estimación de impacto (tabla 3), se
procede a calcular el riesgo inherente y
el riesgo marginal.
Riesgo inherente
Son riesgos que surgen de diferentes
fuentes como errores, irregularidades o
fallas que pueden darse de forma
individual o grupal en la organización,
especialmente con información
financiera, administrativa u operativa.
Para el cálculo del riesgo inherente se
utiliza la siguiente formula:
riesgo_inherente = frecuencia *
degradación.
Dónde:
frecuencia: es el valor obtenido de la
probabilidad de que ocurra una
amenaza (tabla 2)
degradación: es el valor obtenido de la
estimación de impacto (tabla 3)
Riesgo marginal
Es el límite o margen que pueden tener
los riesgos dentro de la organización.
Para el cálculo del riesgo marginal se
utiliza la siguiente formula:
riesgo_marginal = riesgo_inherente *
marginalidad
Dónde:
- riesgo_inherente: es calculado en
la formula anterior
- marginalidad: es el valor obtenido
en la evaluación de control del
riesgo (tabla 1)
Al obtener los resultados, se deberá
establecer una respuesta a los riesgos
identificados para cada uno de los
activos de información de la
organización, a los cuales se les
realizara seguimiento en cuanto a
eficiencia y respuesta, teniendo en
cuenta la documentación de los planes
de mitigación (sean efectivos o no) para
futuras consultas.
Referencias
Identificar activos de información de
la organización
Realizar la valoración de los
activos Identificar riesgos
Identificar y evaluar el control
del riesgo
Probabilidad de ocurrir una amenaza
Estimación de impacto de la
amenaza
Calcular el riesgo inherente y el
riesgo marginal
Documentar el proceso
FUENTE: (Guzmán, sin fecha)
Tabla 4. Metodología para la valoración
del riesgo
5
Dussan, Antonio (2006) Políticas de seguridad informática. Artículo web. Consultado el 15 de diciembre de 2013, en: http://www.unilibrecali.edu.co/entramado/images/stories/pdf_articulos/volumen2/Politicas_de_seguridad_informtica.pdf
Emaza. Los 10 tipos de activos en la
seguridad de la información ¿Qué son y
cómo valorarlos? artículo web.
Consultado el 15 de diciembre de
2013, en:
http://www.seguridadinformacion.net/los-
10-tipos-de-activos-en-la-seguridad-de-
la-informacion-que-son-y-
comovalorarlos/
6
CONTROL DE DOCUMENTO
Autores Nombre Cargo Dependencia Fecha
Expertos temáticos Jenny Marisol Henao Garcia
Experta temática
Sena - Centro de diseño e innovación tecnológica industrial –regional Risaralda.
Diciembre 20 de 2013
Yuly Paulin Saenz Agudelo
Experta temática
Sena - Centro de diseño e innovación tecnológica industrial –regional Risaralda.
Diciembre 20 de 2013
Revisión John Jairo Alvarado González
Guionista Sena - Centro de diseño e innovación tecnológica industrial –regional Risaralda.
Diciembre 23 de 2013
Andrés Felipe Valencia Pimienta
Líder línea de producción
Sena - Centro de diseño e innovación tecnológica industrial –regional Risaralda.
Diciembre 23 de 2013
7
CRÉDITOS
Equipo Línea de Producción,
SENA Centro de diseño e
innovación tecnológica industria,
Dosquebradas
Líder línea de producción:
Andrés Felipe Valencia Pimienta
Apoyo línea de producción:
Carlos Andrés Mesa Montoya
Asesor pedagógico:
Edward Abilio Luna Díaz
Elaboración de contenidos
expertas temáticas:
Yuly Paulín Sáenz Giraldo
Yenny Marisol Henao García
Guionistas:
John Jairo Alvarado González
Gabriel Gómez Franco
Diseñadores:
Lina Marcela Cardona
Mario Fernando López Cardona
Desarrolladores Front End:
Julián Giraldo Rodríguez
Ricardo Bermúdez Osorio
Cristian Fernando Dávila López