Dependencia
SOPORTE Y SISTEMAS
Autor(es)
CONTROL DE CAMBIOS
FECHA
3 JUL 2014
CAMBIO
Primera Versin
VERSIN
1.1
ELABOR
REVIS Y APROB
Version 1.1
Fecha: 3 de Julio de 2014
Version 1.1
Fecha: 3 de Julio de 2014
28 Julio 2014
METODOLOGIA PARA ANALISIS DE RIESGOS
Metodologia, Riesgo
1.1 Entrevistas
Mediante este tipo de aproximacin a la organizacin, se busca entender los
diferentes
aspectos que la conforman, tanto en el aspecto tecnolgico, como en los procesos
crticos, los cuales a su vez, son soportados por las aplicaciones y la infraestructura
tecnolgica.
ORBEN identificar los siguientes elementos en el marco de la norma de seguridad
ISO 27001:
0%
20%
VAL
OR
61%
80%
81%
100%
5
En la cual, a una probabilidad alta del 91% al 100% al menos 12 veces al ao, le
asignamos el valor P=5, para una probabilidad intermedia con porcentaje de 61% al
80%al menos 8 veces al ao le asignamos el valor P=4, para una probabilidad
media pero menos frecuente con porcentaje de 41% al 60% al menos 6 veces al ao
le asignamos el valor P=3, para una probabilidad menor asignamos el porcentaje
21% al 40% al menos 4 veces al ao con un valor de P=2 y por ltimo para una
probabilidad baja de 0% a 20% al menos 2 veces al ao le asignamos el valor P=1,
esta asignacin se define en proporcin directa al numero de veces que el evento
puede ocurrir en un periodo de un ao. Para el caso P=5 se considera que ocurre al
menos 12 veces al ao.
1.5 Identificacin de Vulnerabilidades.
Para la identificacin de vulnerabilidades sobre la plataforma de tecnologa, se
utiliza el mtodo de la observacin y el historial de eventos para determinar las
vulnerabilidades.
Ejemplos:
Seguridad Fsica.
o Falta de control de Acceso
o Falta de preparacin en control de incendios
Para definir el impacto que genera la afectacin de un activo bajo los criterios
de la norma ISO 27001-2005 se evala la importancia de cada activo con
respecto a los conceptos de CONFIDENCIALIDAD, INTEGRIDAD y
DISPONIBILIDAD, posteriormente se realiza un promedio de esta evaluacin
para encontrar el valor IMPORTANCIA DE ACTIVO que en anlisis de riesgo
lo utilizaremos como IMPACTO.
Tomaremos una escala de evaluacin del 1 al 5 donde 1 es el valor de
impacto menor y el 5 es el valor de impacto mayor.
Valor
5
Nivel de impacto
Impacto total Clientes y
Organizacin
4
3
Impacto alto
Impacto intermedio alto
2
1
Impacto intermedio
Impacto bajo
Ejemplo
Servicio de voz
Falla en servicio de
internet
Falla en las baes de satos
Falla en equipo de
computo
Telefono desconfigurado
l) Gestin de Riesgo
Despus de priorizar los riesgos la Direccin de Operaciones se presentara la
informacin a la Direccin de operaciones para tomar decisiones sobre la
gestin de riesgo.
Las opciones a tomar son las siguientes:
Mitigar: Esta opcin se toma al encontrarse el Riesgo Total dentro del
rango de 3 a 5. Atacar la amenaza con procedimientos, polticas dentro
de la organizacin.
Transferir: Al igual que al mitigar, esta opcin se toma al encontrarse
el Riesgo Total dentro del rango de 3 a 5 solo que la forma de atacar
esta amenaza es a travs de un tercero para realizar la actividad ya
sea por algn contrato que nos ampare o algn servicio que
necesitemos contratar.
Aceptar: Esta opcin se tomara si el Riesgo Total se encuentra dentro
del rango de 1 a 2 en donde adoptamos el riesgo en su estado natural
sin tratamiento.
Criterio de Tratamiento
Riesgo Total
Tratamiento
Accion a Ejecutar
Interno/Externo
Nivel de 3 a 5
Externo
Transferir
Nivel e 3 a 5
Interno
Mitigar
Nivel de 1 a 2
Interno/Externo
Aceptar
NotaUnUna vez definido el valor de RIESGO TOTAL se aplicara el Criterio de Tratamiento
m) Tratamiento de riesgo
Version 1.1
Fecha: 3 de Julio de 2014
Version 1.1
Fecha: 3 de Julio de 2014