NMX-I-27005-NYCE-2011

41/74

APNDICE

(Informativo)

IDENTIFICACIN Y VALORACIN DE ACTIVOS Y EVALUACIN DE IMPACTO

Ejemplos de identificacin del activo

B.1

Para desempear una valoracin de activo, una organizacin necesita primero identificar sus
activos (en un nivel apropiado de detalle). Dos tipos de activos pueden distinguirse:

Los activos primarios:

Procesos y actividades de negocios.

Informacin.

Los activos de soporte (sobre los cuales los elementos primarios del alcance dependen)
de todos los tipos:

B.1.1

Hardware.

Soltware.

Red.

Personal.

Sitio.

Estructura de la organizacin.

La identificacin de los activos primarios

Para descr'1bir el alcance ms precisamente, esta actividad consiste en identificar los activos
primarios (procesos y actividades de negocios, informacin). Esta identificacin es llevada a
cabo mediante un grupo de trabajo mezclado representativo del proceso (gerentes,
especialistas y usuarios de los sistemas de informacin).
Los activos primarios son usualmente los procesos e informacin esenciales de la actividad
en el alcance. Otros activos primarios tales como los procesos de la organizacin pueden
considerarse tambin, los cuales son ms apropiados para preparar una poltica de la
seguridad de la informacin o un plan de continuidad de negocios. Dependiendo del
propsito, algunos estudios no requieren un anlisis exhaustivo de todos los elementos que
completan el alcance. En tales casos, los lmites de estudio pueden limitarse a los elementos
clave del alcance.
Los activos primarios son de dos tipos:

"' PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.

NMX-I-27005-NYCE-2011
42/74

1.- Procesos Co subprocesos) y actividades de negocios. por ejemplo:

Procesos cuya prdida o degradacin hacen imposible llevar a cabo la misin de la

organizacin.

Procesos que contienen

propietaria.

Procesos que, si son modificados, pueden afectar enormemente el logro de la misin de

la organizacin.

Procesos que son necesarios para que la organizacin cumpla con los requisitos
contractuales, legales o reguladores.

procesos secretos o procesos que involucran tecnologa

2.- Informacin:
Ms en general, la informacin primaria comprende principalmente:

Informacin vital para el ejercicio de la misin o negocios de la organizacin.

Informacin personal, as puede definirse especficamente en el sentido de las leyes

nacionales con respecto a la privacidad.

Informacin estratgica requerida

orientaciones estratgicas.

Informacin de alto costo cuya concurrencia, almacenaje, procesamiento y transmisin

requiere un tiempo largo y/o involucra un costo de adquisicin alto.

para

alcanzar objetivos determinados por las

Los procesos e informacin que no son identificados como sensibles despus de esta
actividad tienen una clasificacin no definida en el resto del estudio. Esto significa que an si
tales procesos o informacin son comprometidos, la organizacin an logra la misin
exitosamente.
Sin embargo, a menudo heredan los controles implementados para proteger los procesos e
informacin identificados como sensibles.
B.1.2

Lista y descripcin de activos de soporte

El alcance consiste de activos que deben identificarse y describirse. Estos activos tienen
vulnerabilidades que son explotables mediante amenazas que apuntan a afectar los activos
primarios del alcance (procesos e informacin). Son de varios tipos:
Hardware
El tipo de hardware consiste de todos los elementos fsicos que soportan los procesos.
Equipo de Procesamiento de datos (activo)

"PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.

NMX-I-27005-NYCE-2011

43/74

Equipo de procesamiento de la informacin automtica que incluye los elementos

requeridos para operar independientemente.
Eguipo transportable
Equipo de cmputo porttil.
Ejemplos: computadora porttil, Asistente Digital Personal (PDA, por sus siglas en
ingls).
Equipo fijo
Equipo de computo usado sobre los establecimientos de la organizacin.
Ejemplos: servidor, microcomputadora usada como una estacin de trabajo.
Perifricos de procesamiento
Equipo conectado a una computadora va un puerto de comunicacin (serial, enlace
paralelo, etc.) para entrar, transportar o transmitir datos.
Ejemplos: impresora, unidad de disco removible.
Medios de datos Cpasivol
Estos son medios para almacenar datos o funciones.
Medio electrnico
Un medio de informacin que puede conectarse a una computadora o red de
computadora para almacenaje de datos. A pesar de su tamao compacto, estos
medios pueden contener una cantidad grande de datos. Pueden usarse con equipo
de cmputo normalizado.
Ejemplos: disco flexible, CD-ROM, cartucho de respaldo, disco duro removible, llave
de memoria, cinta.
Otros medios
Estticos, medios no electrnicos que contienen datos.
Ejemplos: papel, diapositiva, transparencia, documentacin, fax.
Software
El software consiste de todos los programas que contribuyen a la operacin de un
conjunto de procesamiento de datos.
Sistema o erativo

111

PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.

NMX-I-27005-NYCE-2011

44/74

Esto incluye todos los programas de una computadora que prepara la base operacional de la
cual los dems programas (servicios o aplicaciones) se ejecutan. Incluye un kernel y
funciones o servicios bsicos. Dependiendo de la arquitectura, un sistema operativo puede
ser monoltico o compuesto de un micro-kernel y un conjunto de servicios de sistema. Los
elementos principales del sistema operativo son todos los servicios de gestin del equipo
(Unidad de Procesamiento Central (CPU, por sus siglas en ingls), memoria, disco, e
interfases de red), servicios de gestin de tarea o proceso y servicios de gestin de derechos
de usuario.
Software de servicio. mantenimiento o gestin
Software caracterizado por el hecho de que complementa los servicios del sistema operativo
y no est directamente en el servicio de los usuarios o aplicaciones (an cuando es
usualmente esencial o an indispensable para la operacin global del sistema de
informacin).
Software de paquete o software normalizado
El software de paquete o software normalizado son productos comercializados como tales
(ms que desarrollos fuera de la serie o especficos) con medio, liberacin y mantenimiento.
Proporcionan servicios para los usuarios y aplicaciones, pero no estn personalizados o
especficos en la forma que las aplicaciones de negocios son.
Ejemplos: software de gestin de base de datos, software de mensajera electrnica, para
trabajo en grupo, software directorio, software servidor web, etc.
Aplicacin de negocios
Aplicacin normalizada de negocios
Esto es un software comercial diseado para dar a los usuarios acceso directo a los
servicios y funciones que requieren de su sistema de informacin en su contexto
profesional. Hay un rango de campos muy extenso, tericamente sin lmites.
Ejemplos: software de contabilidad, software de control de mquina-herramienta
para trabajar metal, software de cuidado al consumidor, software de gestin de
competencia personal, software administrativo, etc.
Aplicacin esoecfica de negocios
Esto es software en el cual varios aspectos (fundamentalmente de soporte,
mantenimiento, actualizacin, etc.) han sido desarrollados especficamente para dar
a los usuarios acceso directo a los servicios y funciones que requieren de su sistema
de informacin. Hay un rango de campos muy extenso, tericamente sin lmites.
Ejemplos: gestin de factura de los consumidores de las operadoras de
telecomunicaciones, aplicacin de la supervisin en tiempo real para lanzamiento de
cohetes.

ai

PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NVCE, A.C.

NMX-I-27005-NYCE-2011
45/74

El tipo de red consiste de todos los dispositivos de telecomunicaciones usados para

interconectar varias computadoras remotas fsicamente o elementos de un sistema de
informacin.
Medio y soportes
Los medios o equipos de comunicaciones y telecomunicaciones son caracterizados
principalmente por las caractersticas fsicas y tcnicas del equipo (punto a punto,
emisin) y mediante los protocolos de comunicacin (enlace o red - niveles 2 y 3 del
modelo de 7 capas OSI).
Ejemplos: Red Telefnica de Conmutacin Pblica (PSTN, por sus siglas en ingls),
Ethernet, GigabitEthernet, Lnea de Suscriptor Digital Asimtrica (LSDA),
especificaciones de protocolo inalmbrico (por ejemplo, WiFi 802.11), Bluetooth,
FireWire.
Retransmisin activa o pasiva
Este subtipo incluye todos los serv1c1os que no son terminaciones lgicas de
comunicaciones (visin IS) pero son dispositivos intermedios o de retransmisin. Las
retransmisiones son caracterizadas por los protocolos soportados de comunicacin
de red. Adicional a la retransmisin bsica, a menudo incluyen funciones y servicios
de enrutamiento y/o filtraje, que emplean conmutadores y enrutadores de
comunicacin con filtros. Pueden a menudo ser gestionados remotamente y son
usualmente capaces de generar logaritmos.
Ejemplos: puente, enrutador, hub, switch, intercambio automtico.
Interfase de comunicacin
Las interfases de comunicacin de las unidades de procesamiento son conectadas a
las unidades de procesamiento pero son caracterizadas mediante los medios y
protocolos soportados, mediante cualquier filtrado, logaritmo o funciones de
generacin de advertencia instalados y sus capacidades y mediante la posibilidad y
el requisito de administracin remota.
Ejemplos: Servicio de Radio Paquete General (GPRS, por sus siglas en ingls),
adaptador Ethernet.
Personal
El tipo de personal consiste de todos los grupos de personas involucrados en el sistema de
informacin.
Tomador de decisin

"' PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.

NMX-I-27005-NYCE-2011

46/74

y funciones) y los gerentes de la organizacin o un proyecto especfico.

Ejemplos. Gestin superior, lder de proyecto.
Usuarios
Los usuarios son el personal quienes manejan los elementos sensibles en el contexto
de sus actividades y quienes tienen una responsabilidad al respecto. Pueden tener
derechos especiales de acceso al sistema de informacin para llevar a cabo sus
tareas diarias.
Ejemplos: gestin de recursos humanos, gestin financiera, gerente del riesgo.
Personal de operacin/mantenimiento
Estos son el personal a cargo de la operacin y el mantenimiento del sistema de
informacin. Tienen derechos especiales de acceso al sistema de informacin para
llevar a cabo sus tareas diarias.
Ejemplos: administrador del sistema, administrador de datos, respaldo, Help Desk,
operador de despliegue de la aplicacin, oficiales de seguridad.
Desarrolladores
Los desarrolladores estn a cargo del desarrollo de las aplicaciones de la
organizacin. Tienen acceso a la parte del sistema de informacin con derechos de
alto nivel pero no toman cualquier accin sobre los datos de produccin.
Ejemplos: desarrolladores de aplicacin de negocios.

El tipo de sitio comprende todos los lugares que contienen el alcance o parte del alcance y
los medios fsicos requeridos para que opere.

Ubicacin
Ambiente externo
Esto concierne a todas las ubicaciones en las cuales los medios de la organizacin de
la seguridad no pueden aplicarse.
Ejemplos: residencia del personal, establecimientos de otra organizacin, ambiente
externo al sitio (rea urbana, rea de peligro).
Establecimjentos
Este lugar es limitado por el permetro de la organizacin directamente en contacto

PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.

NMX-I-27005-NYCE-2011
47/74

creacin de barreras fsicas o medios de vigilancia alrededor de los edificios.

Ejemplos: establecimiento, edificios.

Una zona est formada por un lmite de proteccin fsico que forma particiones
dentro de los establecimientos de la organizacin. Se obtiene mediante la creacin
de barreras fsicas alrededor de las infraestructuras de procesamiento de la
informacin de la organizacin.
Ejemplos: oficinas, zona de acceso reservado, zona segura.
Servicios esenciales
Todos los servicios requeridos por el equipo de la organizacin para operar.
Comunicacin
Los servicios y equipo de telecomunicaciones proporcionados por un operador.
Ejemplos: lnea telefnica, PABX, redes telefnicas internas.
Utilidades
Servicios y medios (fuentes y alambrado) requeridos para proporcionar energa al
equipo y perifricos de tecnologa de la informacin.
Ejemplos: fuente de alimentacin de baja tensin elctrica, inversor, punto final de
un circuito elctrico.
Suministro de agua.
Eliminacin de desperdicios.
Servicios y medios (equipo, control) para enfriar y purificar el aire.
Ejemplos: tuberas de agua fra, aires acondicionados.
Oraanizacin
El tipo de organizacin describe el marco de trabajo organizativo, que consiste de todas las
estructuras de personal asignadas a una tarea y los procedimientos que controlan estas
estructuras.

Autoridades
Estas son organizaciones de las cuales la organizacin estudiada deriva su autoridad.
Esta

111

PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.

NMX-I-27005-NYCE-2011
48/74

organizacin estudiada en trminos de regulaciones, decisiones y acciones.

Ejemplos: organismo de administracin, oficina central de una organizacin.
Estructura de la organizacin
Esto consiste de varias ramas de la organizacin, que incluye sus actividades multifuncionales, bajo el control de su gestin.
Ejemplos: gestin de recursos humanos, gestin TI, gestin de compras, gestin de
la unidad de negocios, servicio de seguridad del edificio, servicio contra incendios,
gestin de auditora.
Organizacin del proyecto o sistema
Esto concierne a la organizacin establecida para un proyecto o servicio especfico.
Ejemplos: proyecto de desarrollo de nueva aplicacin, proyecto de migracin del
sistema de informacin.
Subcontratistas/Proveedores/Fabricantes
Estas son organizaciones que proporcionan a la organizacin con un servicio o
recursos y lo limitan mediante contrato.
Ejemplos: compaa de gestin de instalaciones, compaa de subcontratacin,
compaas consultoras.
8.2

Valoracin del activo

El siguiente paso despus de la identificacin del activo es acordar la escala a usarse y el

criterio para asignar una ubicacin particular sobre esa escala a cada activo, basado en la
evaluacin. Debido a la diversidad de activos encontrados dentro de la mayora de las
organizaciones es posible que algunos activos que tienen un valor monetario conocido se
valen en la unidad local de divisas mientras otros los cuales tienen un valor ms cualitativo
pueden asignarse a una gama de valores, por ejemplo, de "muy bajo" a "muy alto". La
decisin para usar una escala cuantitativa contra una escala cualitativa es realmente una
materia de la preferencia organizativa, pero debe ser relevante a los activos que son
valuados. Ambos tipos de valoracin pueden usarse para el mismo activo.
Los trminos tpicos usados para la valoracin cualitativa de activos incluyen palabras tales
como: insignificante, muy bajo, bajo, medio, alto, muy alto, y crtico. La eleccin y rango de
trminos convenientes a una organizacin es fuertemente dependiente de las necesidades
de una organizacin para la seguridad, tamao organizativo, y otros factores especficos de
la organizacin.
Criterio
El criterio usado como la base

* PROHIBIDA

nar un valor a cada activo debe escribirse en

LA COPIA, REPRODUCCIN PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.

NMX-I-27005-NYCE-2011

49/74

trminos inequvocos. Esto es a menudo uno de los aspectos ms difciles de la valoracin

del activo dado que los valores de algunos activos pueden determinarse subjetivamente
dado que algunos individuos diferentes son probables para hacer la determinacin. El criterio
posible usado para determinar un valor de un activo incluye su costo original, su costo de
reemplazo o re-creacin o su valor puede ser abstracto, por ejemplo, el valor de la
reputacin de una organizacin.
Otra base para la valoracin de activos son los costos incurridos debido a la prdida de
confidencialidad, integridad y disponibilidad como el resultado de un incidente. Ningn
repudio, contabilidad, autenticidad y fiabilidad deben considerarse tambin, como sea
apropiado. Tal valoracin puede proporcionar las dimensiones de los elementos importantes
al valor de activo, adicional al costo de reemplazo, basado en aproximados de las
consecuencias de negocios adversas que pueden resultar de incidentes de seguridad con un
conjunto asumido de circunstancias. Se enfatiza que este enfoque da cuentas para las
consecuencias que son necesarias al factor dentro de la evaluacin del riesgo.
Algunos activos durante el curso de la valoracin pueden tener varios valores asignados. Por
ejemplo: un plan de negocios puede ser un valor basado en el trabajo empleado para
desarrollar el plan, que podra ser valioso en el trabajo para introducir los datos, y podra ser
valorado en funcin de su valor a un competidor Cada uno de los valores asignados difiere
considerablemente. El valor asignado puede ser el mximo de todos los valores posibles o
puede ser la suma de algunos o todos los valores posibles. En el anlisis final, qu valor o
valores son asignados a un activo deben ser cuidadosamente determinados dado que el
valor final asignado entra dentro de la determinacin de los recursos a gastarse para la
proteccin del activo.
Reduccin a la base comn
En ltima instancia, todas las valoraciones del activo necesitan reducirse a una base comn.
Esto puede hacerse con la ayuda del criterio tal como aquellos que le siguen. El criterio que
puede usarse para evaluar las consecuencias posibles que resultan de una prdida de
confidencialidad, integridad, disponibilidad, no-repudio, contabilidad, autenticidad, o
fiabilidad de los activos son:

Violacin de la legislacin y/o regulacin.

Impedimento del desempeo de los negocios.

Prdida de buena voluntad/efecto negativo sobre la reputacin.

Incumplimiento asociado con la informacin personal.

Nivel de riesgo de la seguridad personal.

Efectos adversos sobre la aplicacin de la ley.

Incumplimiento de confidencialidad.

In

~PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.

NMX-I-27005-NYCE-2011
50/74

Prdida financiera.

Trastorno a las actividades de negocios.

Nivel de riesgo de la seguridad ambiental.

Otro enfoque para evaluar las consecuencias puede ser:

Interrupcin de servicio.

Prdida de la confianza del consumidor.

Prdida de credibilidad en el sistema de informacin interna.

Dao a la reputacin.

Trastorno de operacin interna.

Trastorno en la organizacin por s misma.

Costo interno adicional.

Trastorno de una operacin de tercera parte.

Trastorno en terceras partes que hacen negocios con la organizacin.

Varios tipos de lesin.

Infraccin de leyes/regulaciones.

Incapacidad para cumplir con obligaciones legales.

Incumplimiento de contrato.

Incapacidad para proporcionar el servicio.

Incapacidad para cumplir obligaciones contractuales.

Peligro para la seguridad del personal/usuario.

Peligro para el personal y/o usuarios de la organizacin.

Ataque a la vida privada de los usuarios.

Prdidas financieras.

Costos financieros para emergencia o reparacin.

En trminos de personal.

ID

PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.

NMX-I-27005-NYCE-2011
51/74

E_n trminos de equipo.

En trminos de estudios, reportes de expertos.

Prdida de bienes/fondos/activos.

Prdida de consumidores, prdida de proveedores.

Procedimientos y penas judiciales.

Prdida de una ventaja competitiva.

Perdida de una pista tecnolgica/tcnica.

Prdida de efectividad/confianza.

Prdida de reputacin tcnica.

Debilitacin de la capacidad de negociacin.

Crisis industriales (huelgas).

Crisis gubernamentales.

Despido.

Dao material.

Estos criterios son ejemplos de temas a considerarse para la valoracin del activo. Para
llevar a cabo las valoraciones, una organizacin necesita seleccionar el criterio relevante al
tipo de negocios y requisitos de seguridad. Esto puede significar que algunos de Jos criterios
listados arriba no son aplicables, y que otros pueden necesitar agregarse a la lista.
Escala
Despus de establecer el criterio a considerarse, la organizacin debe acordar sobre una
escala a usarse a lo largo y ancho de una organizacin. El primer paso es decidir sobre el
nmero de niveles a usarse. No hay reglas con consideracin al nmero de niveles que son
ms apropiados. Ms niveles proporcionan un nivel ms grande de granulacin pero algunas
veces una diferenciacin demasiada fina hace asignaciones consistentes desde el principio
hasta el fin de la dificultad de la organizacin. Normalmente, cualquier nmero de niveles
entre 3 (por ejemplo, bajo, medio, y alto) y 10 pueden usarse tanto tiempo como sea
consistente con el enfoque que la organizacin est usando para todo el proceso de
evaluacin del riesgo.
Una organizacin puede definir sus propios lmites para los valores del activo, como "bajo",
"medio", o "alto". Estos lmites deben evaluarse en conformidad al criterio seleccionado (por
ejemplo, para prdida financiera posible, deben darse en valores monetarios, pero para
consideracio

.io

PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.

NMX-I-27005-NYCE-2011
52/74

monetaria puede ser compleja y puede no ser apropiada para todas las organizaciones).
Finalmente, es de plena competencia de la organizacin decidir qu se considera como
consecuencia "baja" o "alta". Una consecuencia que puede ser desastrosa para una
organizacin pequea puede ser baja o an insignificante para una organizacin muy
grande.
Deoendencias
Los procesos de negocios ms relevantes y numerosos soportados por un activo, el valor
ms grande de este activo. Las dependencias de los activos sobre los procesos de negocios u
otros activos deben identificarse tambin dado que esto puede influenciar los valores de los
activos. Por ejemplo, Ja confidencialidad de los datos debe guardarse desde el principio
hasta el final de su ciclo de vida, en todas las etapas, que incluye el almacenaje y
procesamiento, es decir, las necesidades de seguridad del almacenaje de datos y los
programas de procesamiento deben relacionarse directamente al valor que representa la
confidencialidad de los datos almacenados y procesados. Tambin, si un proceso de negocios
est dependiendo de la integridad de ciertos datos que son producidos por un programa, los
datos de entrada de este programa deben ser de una responsabilidad apropiada. Adems, la
integridad de la informacin es dependiente del hardware y software usado para su
almacenaje y procesamiento. Tambin, el hardware es dependiente de la fuente de
alimentacin y posiblemente del aire acondicionado. As, la informacin acerca de las
dependencias ayuda en la identificacin de amenazas y particularmente de vulnerabilidades.
Adicionalmente, ayuda a asegurar que el valor de los activos (a travs de las relaciones de
dependencia) es dado a los activos, de ese modo indicando el nivel apropiado de proteccin.
Los valores de los activos sobre los cuales otros activos son dependientes pueden
modificarse en la siguiente forma:

Si los valores de los activos dependientes (por ejemplo, datos) son ms bajos o iguales
al valor del activo considerado (por ejemplo, software), su valor contina siendo el
mismo.

Si los valores del activo dependiente (por ejemplo, datos) son ms grandes, entonces el
valor del activo considerado (por ejemplo, software) debe incrementarse en conformidad

a:
El grado de dependencia.
Los valores de los otros activos.
Una organizacin puede tener algunos activos que estn disponibles ms de una vez, como
copias de programas de software o el mismo tipo de computadora usada en la mayora de
las oficinas. Es importante considerar este hecho cuando se hace la valoracin del activo.
Por un lado, estos activos son pasados por alto fcilmente, por consiguiente el cuidado debe
tomarse para identificarlos a todos ellos; por otro lado, pueden usarse para reducirse los
problemas de disponibilidad.

~PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.