Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
i
c
a
s
&
0
r
d
i
d
a
d
e
%
a
g
e
n
b. Prdida de Imagen
Escala de
Valoracin
Escala
Cuantitativa
Descripcin
MB:Muy
Bajo
1 Leve prdida de imagen
B: Bajo 2 Prdida moderada
M: Medio 3 Prdida importante
A: Alto 4 Prdida alta
MA: Muy
alto
5 Prdida muy alta
Las tcnicas se clasifican en:
a. Prdida de Confidencialidad
Escala de
Valoracin
Escala
Cuantitativa
Descripcin
MB:Muy Bajo 1 Informacin revelada mnima y no sensible
B: Bajo 2 Informacin revelada mnima
M: Medio 3 Importante Cantidad de informacin no sensible
revelada
A: Alto 4 Importante cantidad de informacin revelada
MA: Muy alto 5 Toda la informacin revelada
b. Prdida de Integridad
Escala de
Valoracin
Escala
Cuantitativa
Descripcin
MB:Muy Bajo 1 Mnima informacin daada
B: Bajo 2 Mnima informacin importante daada
M: Medio 3 Gran cantidad de informacin daada
#+
A: Alto 4 Gran cantidad de informacin importante daada
MA: Muy alto 5 Toda la informacin destruida
c. Prdida de Disponibilidad
Escala de
Valoracin
Escala
Cuantitativa
Descripcin
MB:Muy Bajo 1 Mnima interrupcin del servicio
B: Bajo 2 Mnima interrupcin de servicios primarios
M: Medio 3 Amplia interrupcin de servicios
A: Alto 4 Amplia interrupcin de servicios primarios
MA: Muy alto 5 Todos los servicios interrumpidos
Posteriormente se promedia la valoracin de esta variables y se calificar el posible dao de acuerdo
o tipo de degradacin de la siguiente manera:
5 Muy alto (MA) Dao muy grave para el
proyecto
4 Alto (A) Dao grave al proyecto
3 Medio (M) Dao importante al proyecto
2 Bajo (B) Dao menor al proyecto
1 Muy Bajo (MB) Dao despreciable
#1
5.2.7. stimacin del !ies"o
El valor de la Vulnerabilidad y su Impacto sobre el Activo determinan conjuntamente el valor del
Riesgo.
Esto se puede ver con facilidad cuando se representa el riesgo con una sencilla tcnica matricial. En
esta tcnica se relacionan los niveles de Vulnerabilidad (puestos en filas) y los de Impacto (puestos
en columnas). En las casillas correspondientes, los valores del nivel de Riesgo, como es lgico, son
crecientes con los niveles de ambos factores, pero sern sistemticamente mayores por debajo de la
diagonal, pues se considera que el Impacto influye ms en el nivel de Riesgo que la Vulnerabilidad.
Matriz Cualitativa
RIESGO
VULNERABILIDAD
PF FN F MF
IMPACTO
MA A MA MA MA
A M A MA MA
M B M A MA
B MB B M A
MB MB MB B M
Matriz Cuantitativa
##
Clase
Crtico Muy Alto 10 a 20
Grave Alto 5 a 9
Moderado Medio 4 a 6
Valoracin
Cualitativa
Valoracin
Cuantitativa
5.2.#. $ane%o del !ies"o
Una vez que se realiza el anlisis de riesgos, el equipo de desarrollo tiene en sus manos una
poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnstico general sobre el
estado de la seguridad de su entorno como un todo. A partir de este momento es posible establecer
polticas para la correccin de los problemas ya detectados y la gestin de seguridad de ellos a lo
largo del tiempo, para garantizar que las vulnerabilidades encontradas anteriormente no persistan,
gestionando de esa manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo del
tiempo.
La matriz de valor crtico indica a travs de datos cualitativos y cuantitativos la situacin de seguridad
en que se encuentran los activos analizados. Luego de listar las vulnerabilidades o amenazas
potenciales, se deben fijar las respectivas recomendaciones de seguridad para su correccin.
Aqu se deben determinar medidas de control que son acciones orientadas hacia la eliminacin de
vulnerabilidades, teniendo en mira evitar que una amenaza se vuelva realidad. Estas medidas son el
paso inicial para el aumento de la seguridad de la informacin en un ambiente de tecnologa de la
informacin por tanto deben considerar todo.
Tipo de Manejo de los Riesgos
Antes de definir las medidas de control se debe tomar la decisin de qu manejo se le va a hacer a
los riesgos definidos, analizados y valorados en los pasos anteriores.
Medida Descripcin
Evitar el riesgo Es siempre la primera alternativa a considerar. Se logra cuando al
interior de los procesos se generan cambios sustanciales por
mejoramiento, rediseo o eliminacin, resultado de unos adecuados
controles y acciones emprendidas. Un ejemplo de esto puede ser el
control de calidad, manejo de los insumos, mantenimiento preventivo de
los equipos.
#3
1 2 3 4
5 5 10 15 20
4 4 8 12 16
3 3 6 9 12
2 2 4 6 8
1 1 2 2 4
RIESGO
VULNERABILIDAD
IMPACTO
Reducir el riesgo Si el riesgo no puede ser evitado porque crea grandes dificultades
operacionales, el paso a seguir es reducirlo al ms bajo nivel posible.
La reduccin del riesgo es probablemente el mtodo ms sencillo y
econmico para superar las debilidades antes de aplicar medidas ms
costosas y difciles. Se consigue mediante la optimizacin de los
procedimientos y la implementacin de controles. Ejemplo: Planes de
contingencia.
Dispersar y
atomizar el riesgo
Se logra mediante la distribucin o localizacin del riesgo en diversos
lugares. Es as como por ejemplo, la informacin de gran importancia
se puede duplicar y almacenar en un lugar distante y de ubicacin
segura, en vez de dejarla concentrada en un solo lugar.
Transferir el riesgo Hace referencia a buscar respaldo y compartir con otro parte del riesgo,
como por ejemplo, tomar plizas de seguros, as se traslada el riesgo a
otra parte o fsicamente se traslada a otro lugar. Esta tcnica es usada
para eliminar el riesgo de un lugar y pasarlo a otro, o de un grupo a
otro. As mismo, el riesgo puede ser minimizado compartindolo con
otro grupo o dependencia.
Asumir el riesgo Luego de que el riesgo ha sido reducido o transferido puede quedar un
riesgo residual que se mantiene, en este caso el gerente del proceso
simplemente acepta la prdida residual probable y elabora planes de
contingencia para su manejo.
Una vez establecidos cules de los anteriores manejos del riesgo se
van a concretar, estos deben evaluarse con relacin al beneficio-costo
para definir, cules son susceptibles de ser aplicadas y proceder a
elaborar el plan de manejo de riesgo, teniendo en cuenta, el anlisis
elaborado para cada uno de los riesgos de acuerdo con su impacto,
probabilidad y nivel de riesgo.
Posteriormente se definen los responsables de llevar a cabo las
acciones especificando el grado de participacin de las dependencias
en el desarrollo de cada una de ellas. As mismo, es importante
construir indicadores, entendidos como los elementos que permiten
determinar
de forma prctica el comportamiento de las variables de riesgo que van
a permitir medir el impacto de las acciones.
#-
Medidas para el Manejo del Riesgo
Una vez definidos los riesgos que se va a asumir se deben especificar medidas del manejo del riesgo
especificando:
Las medidas que se tomen deben ser objeto de evaluacin y seguimiento constante, actualizando la
valoracin de las vulnerabilidades, impactos y riesgos.
#5
Recursos
Accin
2*e3oraiento
(SC(+AR%'S
4Actividad donde
se debe aplicar el
control5
Responsable
de iplantar
acci6n de
e3ora
F
e
c
h
a
d
e
%
p
l
a
n
t
a
c
i
n
F
e
c
h
a
d
e
S
e
g
u
i
i
e
n
t
o