VALORACIN DE RIESGOS DEL SISTEMA DE INFORMACIN

Cules son los elementos y planes necesarios para la evaluacin de riesgos presentes en los activos de informacin de la empresa?Estos dos puntos son a la vez, los objetivos de la evaluacin de riesgos. Identificar los riesgos y ponderarlos Identificar los controles y ponderarlosLa ponderacin es importante para ver el grado de importancia, como se muestra a continuacin:Valoracin de riesgoValor Ocurrencia

Nada frecuente Poco frecuente Normal Frecuente Muy frecuente

0.20.40.60.81 No ha sucedido. Sucede cada 10 aos. Sucede una vez al ao. Sucede mensualmente Sucede diariamente.

Tabla 1.

Escala de controlesConsideracinEficiencia (%)Marginalidad

Muy adecuado. Adecuado. Moderado. Dbil. Muy dbil.

El control establecido tiene un diseo fuerte, es automtico y se comprueba su efectividad. El control establecido tiene un diseo fuerte, no es automtico, se comprueba su efectividad. El control establecido tiene un diseo fuerte, no es automtico y no se comprueba su efectividad. El control establecido no tiene un diseo fuerte, no es automtico, pero se comprueba su efectividad. El control establecido no tiene un diseo fuerte, no es automtico, no se comprueba su efectividad.90705030100.10.30.50.70.9

Tabla 2.Impacto al activoValorOcurrencia

Insignificante Menor Moderado Mayor Catastrfico

0.20.40.60.81 El activo no sufre daos que impidan su operacin. El activo sufre daos y puede continuar operando. El activo sufre daos y su operacin es restringida. El activo sufre daos que impiden su operacin y puede recuperar dentro del tiempo tolerable para la operacin. El activo sufre daos irreparables y la operacin se altera considerablemente.

Tabla 3.Los planes necesarios para la evaluacin de riesgos es seguir las tres fases de la valoracin de riesgosFases para la valoracin de riesgos Identificacin de riesgos Identificacin de controles Valoracin de riesgosComo asesor de la empresa y habiendo identificado los activos de informacin, Simn desea saber cul es la valoracin del riesgo presente en cada uno de los activos de la empresa y de qu manera aplica las normas y metodologas de seguridad informtica.Para el caso Simon y sabiendo que la empresa realiza trabajos contables.ActivoFrecuencia Valor

Email, licencias, cortafuegos, servidores proxy, servicios de red e inhalmbrico, anti-virus, IDS, IPS, FTP, soporte, mantenimiento.Nada frecuente0.2

Pc, laptop, servidores, ERP, MIS, e-commmercePoco frecuente0.4

Personales, socios, proveedores, oficinas, instalaciones, equipos de alarmas, supresin contra incendios, sistema de alimentacin ininterrumpida, acondicionadores, mdems, impresora, fotocopiadoraNormal0.6

I+D, Estratgico, comercial, conocimiento, experiencia, marca/reputacin, confianza de los clientes, tica.Frecuente0.8

Datos financieros, legales, presupuestos contables, documentos contables, cajas Muy frecuente1

Tabla 4. Probabilidad de que ocurra una amenaza (valoracin del riesgo).

Adems se debe de tener en cuenta el:Riesgo_inherente = frecuencia * degradacinRiesgo_marginal = Riesgo_inherente * marginalidad