8.2 8.2.

Anlisis del riesgo Identificacin del riesgo

8.2.1.1 Introduccin a la identificacin del riesgo

El propsito de la identificacin del riesgo es determinar qu podra suceder que cause una prdida potencial y entender cmo, dnde y por qu podra ocurrir la prdida. Los pasos escritos en los apartados que siguen al apartado 8.2.1 deben recolectar datos de insumos para la actividad de estimacin del riesgo.
NOTA: Las actividades descritas en los captulos siguientes deben describirse en el siguiente orden dependiendo de la metodologa aplicada.

8.2.1.2 Identificacin de activos Insumo: Alcance y lmites para la evaluacin del riesgo a conducirse, lista de interesados con propietarios, ubicacin, funcin, etc. Accin: Se debe identificar los activos dentro del alcance establecido (se relaciona con la norma ISO/IEC 27001, apartado 4.2.1 d) 1)). Gua de implementacin: Un activo es cualquier cosa que tenga valor para la organizacin y que por lo tanto requiera proteccin. Para la identificacin de activos debe recordarse que un sistema de informacin es ms que hardware y software. La identificacin de activos debe realizarse a un nivel adecuado de detalle que proporcione suficiente informacin para la evaluacin del riesgo. El nivel de detalle utilizado en la identificacin de activos influenciar la cantidad general de informacin recolectada durante la evaluacin del riesgo. El nivel puede refinarse en iteraciones posteriores de la evaluacin del riesgo. Se debe identificar al propietario de un activo para cada activo, para determinar las disposiciones sobre responsabilidad y rendicin de cuentas por el activo. El propietario del activo puede no tener derechos de propiedad sobre el activo, pero tiene responsabilidad sobre su produccin, desarrollo, mantenimiento, uso y seguridad, segn corresponda. El propietario del activo a menudo es la persona ms apropiada para determinar el valor que el activo tiene para la organizacin (vase la valorizacin de activos en el apartado 8.2.2). El lmite de revisin es el permetro de activos de la organizacin que el proceso de gestin del riesgo en seguridad de la informacin debe administrar segn definicin.

El Anexo B contiene ms informacin sobre la identificacin y valorizacin de activos relacionados con la seguridad de la informacin. Producto: Una lista de activos a administrarse respecto de su riesgo y una lista de procesos de negocio relativos a activos y su relevancia.
8.2.1.3 Identificacin de amenazas

Insumo: Informacin sobre amenazas obtenida a partir de la revisin de incidentes, propietarios de activos, usuarios y otras fuentes, incluyendo catlogos externos de amenazas. Accin: Se debe identificar las amenazas y sus fuentes (relativas a la norma ISO/IEC 27001, apartado 4.2.1 d) 2)). Gua de implementacin: Una amenaza tiene el potencial de daar activos como la informacin, los procesos y los sistemas y, por tanto, las organizaciones. Las amenazas pueden ser de origen natural o humano y pueden ser accidentales o deliberadas. Deben identificarse tanto las fuentes de amenazas accidentales como las deliberadas. Una amenaza puede surgir desde adentro o desde afuera de la organizacin. Se debe identificar las amenazas de manera genrica y por tipo (por ejemplo acciones no autorizadas, dao fsico, fallas tcnicas) y entonces cuando sea apropiado, las amenazas individuales dentro de la clase genrica identificada. Esto significa que no se desatiende ninguna amenaza, incluyendo las inesperadas, pero que el volumen de trabajo requerido es limitado. Algunas amenazas pueden afectar a ms de un activo. En dichos casos, pueden causar distintos impactos dependiendo de qu activos sean afectados. Se puede obtener insumos respecto de la identificacin de la amenaza y de la estimacin de la posibilidad de ocurrencia (vase el apartado 8.2.2.3) que hacen los propietarios o usuarios de activos, del personal de recursos humanos, de la gerencia de planta y de los especialistas en seguridad de la informacin, expertos de seguridad fsica, departamento legal y otras organizaciones, incluyendo organismos legales, autoridades meteorolgicas, compaas de seguros y autoridades del gobierno nacional. Se debe considerar aspectos de medioambiente y cultura cuando se enfrentan amenazas Se debe considerar la experiencia interna de incidentes y las evaluaciones de amenazas pasadas en la evaluacin actual. Puede valer la pena consultar otros catlogos de amenazas (quizs especficos a una organizacin o empresa) para completar la lista de amenazas genricas, cuando sea relevante. Se dispone de catlogos y estadsticas de amenazas en gremios industriales, gobiernos nacionales, organismos legales, compaas de seguros, etc. Cuando se usa catlogos de amenazas o evaluaciones de los resultados de amenazas pasadas,

debemos ser conscientes de que hay un cambio continuo en las amenazas relevantes, especialmente si el entorno empresarial o los sistemas de informacin cambian. El Anexo C presenta ms informacin sobre tipos de amenazas. Producto: Una lista de amenazas con la identificacin del tipo y fuente de la amenaza. 8.2.1.4 Identificacin de controles existentes Insumo: Documentacin de controles, planes de implementacin de tratamiento de riesgos. Accin: Se debe identificar los controles existentes y planificados. Gua de implementacin: Se debe identificar los controles existentes para evitar trabajo o costo innecesarios, por ejemplo en la duplicacin de controles. Adems, a la vez que se identifican los controles existentes, se debe hacer una verificacin para asegurar que los controles estn funcionando correctamente -una referencia a los informes de auditora ya existentes sobre el ISMS limita el tiempo que se emplea en esta tarea. Si un control no funciona como se esperaba, esto puede causar vulnerabilidades. Se debe considerar la situacin en la que un control (o estrategia) seleccionado falle y, por lo tanto se requieran controles complementarios para tratar de manera eficaz el riesgo identificado. En un ISMS, de acuerdo con ISO/IEC 27001, esto se logra gracias a la medicin de la eficacia de los controles. Una manera de estimar el efecto del control es ver cmo reduce la posibilidad de amenaza y la facilidad de explotacin de la vulnerabilidad o impacto del incidente. Las revisiones de la gerencia y los informes de auditora tambin proporcionan informacin sobre la eficacia de los controles existentes. Se debe considerar los controles que se ha planificado implementar de acuerdo con los planes de implementacin de tratamiento de riesgo de la misma manera que aquellos que ya se implementaron. Un control existente y planificado puede identificarse como ineficaz, o no suficiente, o no justificado. Si no es justificado ni suficiente, se debe verificar el control para determinar si se le debe eliminar, si se le debe reemplazar por otro control ms adecuado o si debera continuarse con el mismo, por ejemplo, por razones de costos. Las siguientes actividades pueden ser tiles para la identificacin de controles existentes o planeados: Revisin de documentos que tienen informacin sobre los controles (por ejemplo, planes de implementacin de tratamiento del riesgo). Si los procesos de gestin de seguridad de la informacin estn bien documentados, se debe disponer de todos los controles

existentes o planeados y de su situacin de implementacin; Verificacin de la seguridad de la informacin con las personas responsables (por ejemplo el funcionario encargado de la seguridad de la informacin y el funcionario encargado de la seguridad del sistema de informacin, el gerente de construccin o el gerente de operaciones) y los usuarios respecto de qu controles se implementan realmente para el proceso de informacin o el sistema de informacin que se est considerando; Conduccin de una revisin in-situ de los controles fsicos, comparando los implementados con la lista de qu controles debera tenerse y verificando los implementados respecto de si estn funcionando de manera correcta y eficaz, o Revisin de resultados de auditoras internas: Producto: Una lista de todos los controles existentes y planeados, su implementacin y su condicin de uso. 8.2.1.5 Identificacin de vulnerabilidades Insumo: Una lista de amenazas conocidas, listas de activos y controles existentes. Accin: Se debe identificar las vulnerabilidades que las amenazas pueden explotar para causar dao a los activos o a la organizacin (se relaciona con la norma ISO/IEC 27001, apartado 4.2.1 d) 3)). Gua de implementacin: Se puede identificar vulnerabilidades en las reas siguientes: Organizacin Procesos y procedimientos Rutinas administrativas Personal Entorno fsico Configuracin del sistema de informacin Hardware, software o equipo de comunicaciones Dependencia de partes externas La presencia de una vulnerabilidad no causa dao en s misma, ya que se requiere una amenaza para explotarla. Una vulnerabilidad que no tiene amenaza correspondiente puede no requerir la implementacin de un control, pero se debera reconocer y monitorear para observar sus cambios.

Debe notarse que un control implementado de manera incorrecta o que funcione mal puede ser en s mismo una vulnerabilidad. Un control puede ser eficaz o ineficaz dependiendo del entorno en el que opera. Inversamente, una amenaza que no tiene una vulnerabilidad correspondiente puede no resultar en un riesgo.

Las vulnerabilidades se pueden relacionar con propiedades del activo que se pueden utilizar de una manera o por un propsito que el que se desea cuando se compr o hizo el activo. Se tienen que considerar vulnerabilidades que surgen de distintas fuentes, por ejemplo, las que son intrnsecas o extrnsecas al activo. En el Anexo D se puede encontrar ejemplos de vulnerabilidades y mtodos para la evaluacin de la vulnerabilidad. Producto: Una lista de vulnerabilidades en relacin con los activos, amenazas y controles, una lista de vulnerabilidades que no se relaciona a ninguna amenaza identificada para su revisin.
8.2.1.6 Identificacin de las consecuencias Insumo: Una lista de activos, una lista de procesos de negocios, y una lista de amenazas y vulnerabilidades donde sea apropiado en relacin con los activos y su relevancia. Accin: Se debe identificar las consecuencias que pueden tener las prdidas de confidencialidad, integridad y disponibilidad (vase la norma ISO/IEC 27001, apartado 4.2.1 d) 4)). Gua de implementacin: Una consecuencia puede hacer perder eficacia, puede haber condiciones operativas adversas, lucro cesante, dao a la reputacin, etc. Esta actividad identifica el dao o las consecuencias a la organizacin que un incidente podra causar. El escenario de un incidente es la descripcin de una amenaza que explota una cierta vulnerabilidad o conjunto de vulnerabilidades en un incidente de vulnerabilidad de la informacin (vase la norma ISO/IEC 27002, Captulo 13). El impacto de los escenarios del incidente debe determinarse considerando criterios de impacto definidos durante la actividad de determinacin del contexto. Puede afectar a uno o ms activos o a parte de un activo. De esta manera, los activos pueden tener valores asignados para su costo financiero y debido a las consecuencias para la empresa si se les daa o compromete. Las consecuencias pueden ser de naturaleza temporal o permanente como en el caso de la destruccin de un activo.
NOTA: La norma ISO/lEC 27001 describe la ocurrencia de escenarios de incidentes como "fallas de seguridad"

Las organizaciones deben identificar las consecuencias operativas de los escenarios de incidentes en trminos de los siguientes elementos sin limitarse a los mismos: Tiempo de investigacin y reparacin Tiempo (trabajo) perdido Oportunidad perdida Salud y seguridad fsica Costo financiero de habilidades especficas para reparar el dao Reputacin de la imagen y buen nombre

En B3, Evaluacin de impacto, se puede encontrar detalles sobre la evaluacin de vulnerabilidades tcnicas. Producto: Una lista de escenarios de incidentes con sus consecuencias relacionadas a los activos y procesos de negocios.

8 .2 .2

Estimacin del riesgo

8 .2 .2 Metodologas para la estimacin del riesgo .1

Se debe realizar el anlisis del riesgo en grados variables de detalle dependiendo del carcter crucial de los activos, extensin de las vulnerabilidades conocidas e incidentes previos que involucran a la organizacin. Una metodologa de estimacin puede ser cualitativa o cuantitativa o una combinacin de ambas dependiendo de las circunstancias. En la prctica, se usa a menudo la estimacin cualitativa para obtener primero una indicacin general del nivel de riesgo y para revelar los riesgos ms importantes. Luego puede ser necesario realizar anlisis ms especficos o cuantitativos sobre los riesgos ms importantes porque a menudo es menos complejo y menos caro realizar anlisis cualitativos que anlisis cuantitativos. La forma del anlisis debe ser consistente con los criterios de evaluacin del nesgo desarrollados como parte de la determinacin del contexto. A continuacin se describe los detalles de las metodologas de estimacin: (a) Estimacin cualitativa: La estimacin cualitativa usa una escala de atributos calificadores para describir la magnitud de las consecuencias potenciales (por ejemplo, baja, media y alta) y la posibilidad de que esas consecuencias ocurran. Una ventaja de la estimacin cualitativa es su facilidad de comprensin por todo el personal relevante, mientras que una ventaja es la dependencia en una eleccin subjetiva de la escala. Estas escalas pueden adaptarse o ajustarse para acomodarse a las circunstancias y se puede usar

distintas descripciones para distintos riesgos. Se puede usar estimacin cualitativa: Como una actividad de clasificacin inicial para identificar los riesgos que requieran un anlisis ms detallado. Donde este tipo de anlisis sea apropiado para las decisiones. Donde los datos numricos o los recursos sean inadecuados para una estimacin cuantitativa. El anlisis cualitativo debe usar informacin fctica y datos siempre que estn disponibles. (b) Estimacin cuantitativa La estimacin cuantitativa usa una escala con valores numricos (ms que escalas descriptivas que se utilizan en la estimacin cualitativa) para las consecuencias y la posibilidad, utilizando datos de una variedad de fuentes. La calidad del anlisis depende de la exactitud y completitud de los valores numricos y de la validez de los modelos utilizados. En la mayora de los casos la estimacin cuantitativa usa datos de incidentes histricos, proveyendo la ventaja de que se puede relacionar directamente a los objetivos de seguridad de la informacin y a las preocupaciones de la organizacin. Una desventaja es la falta de dichos datos sobre nuevos riesgos o sobre las debilidades en la seguridad de la informacin, Una desventaja del enfoque cuantitativo puede ocurrir donde no se disponga de datos auditables, creando as una ilusin de valor y exactitud de la evaluacin del riesgo. La manera en la que se expresan las consecuencias y la posibilidad y las maneras en las que se combinan para proporcionar un nivel de riesgo variarn de acuerdo al tipo de riesgo y al propsito para el cual se debe utilizar el producto de la evaluacin del riesgo. Se debe considerar la incertidumbre y variabilidad de varias consecuencias y probabilidad en el anlisis y comunicarse de manera eficaz.
8.2.2.2 Evaluacin de consecuencias

Insumo: Una lista identificada de escenarios de incidentes relevantes que incluya la identificacin de amenazas, vulnerabilidades, activos aceptados, consecuencias a los activos y procesos de negocio. Accin: Se debe evaluar el impacto empresarial sobre la organizacin que podra resultar de incidentes posibles o reales en tomo a la seguridad de la informacin, tomando en cuenta las consecuencias de una infraccin en la seguridad de la informacin tal como la prdida de confidencialidad, integridad o disponibilidad de los activos (se relaciona con ISO/IEC 27001, Captulo 4.2.1 e) 1)).

Gua de implementacin: Luego de identificar todos los activos que se estn revisando, se debe tomar en cuenta los valores asignados a estos activos a la vez que se evalan las consecuencias. El valor de impacto sobre el negocio puede expresarse en formas cualitativas y cuantitativas, pero cualquier mtodo de asignar valor monetario puede proveer generalmente ms informacin para la toma de decisiones y por tanto facilitar un proceso de toma de decisiones ms eficiente. La valorizacin de activos comienza con la clasificacin de activos de acuerdo con su carcter crucial en trminos de la importancia de los activos para satisfacer los objetivos de negocio de la organizacin. Entonces se determina el valor utilizando dos medidas. El valor de reemplazo del activo: el costo de una limpieza, de la recuperacin y de reemplazar la informacin (si es posible), y Las consecuencias para el negocio por prdida o compromiso del activo, como consecuencias potenciales adversas para el negocio y/o legales o regulatorias debido a la divulgacin, modificacin, no-disponibilidad y/o destruccin de informacin, y otros activos de informacin. Esta valorizacin se puede determinar desde el anlisis de impacto en el negocio. El valor, determinado por la consecuencia para el negocio, es usualmente significativamente ms alto que el simple costo de reemplazo, dependiendo de la importancia que tiene el activo para que la organizacin logre sus objetivos de negocio. La valorizacin del activo es un factor clave en la evaluacin de impacto de un escenario de incidentes porque el incidente puede afectar a ms de un activo (por ejemplo activos dependientes) o solamente a una parte de un activo. Las distintas amenazas y vulnerabilidades tendrn diferentes impactos en los activos, como una prdida de confidencialidad, integridad o disponibilidad. La evaluacin de consecuencias se relaciona entonces a la valorizacin de los activos en base al anlisis de impacto sobre el negocio. Se puede expresar las consecuencias en trminos de criterios monetarios, tcnicos o humanos u otros criterios relevantes a la organizacin. En algunos casos se requiere ms de un valor numrico para especificar las consecuencias de distintos momentos, lugares, grupos o situaciones. Las consecuencias en el tiempo y las finanzas deben medirse con el mismo enfoque que se utiliza para la posibilidad de amenazas y la vulnerabilidad. Se tiene que mantener la consistencia sobre el enfoque cuantitativo o cualitativo. En el Anexo B se puede encontrar mayor informacin sobre la valorizacin de los activos y la evaluacin de impacto.

Producto: Una lista de consecuencias evaluadas de un escenario de incidentes expresada con respecto a los activos y a criterios de impacto. 8.2.2.3 Evaluacin de la posibilidad de incidentes Insumos: Una lista identificada de escenarios de incidentes relevantes, incluyendo la identificacin de amenazas, los activos afectados, las vulnerabilidades explotadas y las consecuencias para los activos y los procesos del negocio. Adems, listas de todos los controles existentes y planeados, su eficacia, implementacin y condicin de uso. Accin: La posibilidad de los escenarios de incidentes debe evaluarse (se relaciona con la norma ISO/IEC 27001, apartado 4.2.1 e) 2)). Gua de implementacin: Luego de identificar los escenarios de incidentes, es necesario evaluar la posibilidad de que ocurra cada escenario e impacto utilizando tcnicas de estimacin cualitativa y cuantitativa. Esto debe tomar en cuenta cun a menudo ocurren las amenazas y con qu facilidad se puede explotar las vulnerabilidades, considerando. La experiencia y las estadsticas aplicables para la posibilidad de amenazas. Para fuentes de amenazas deliberadas: la motivacin y capacidades que cambiarn en el tiempo y los recursos disponibles a los posibles atacantes, as como la percepcin de la atraccin y la vulnerabilidad de los activos para un posible atacante Para fuentes de amenazas accidentales: factores geogrficos, por ejemplo proximidad a plantas qumicas o petroleras, la posibilidad de condiciones climticas extremas y factores que podran influenciar los errores humanos y el malfuncionamiento de los equipos. Vulnerabilidades, tanto individualmente como de manera agregada. Controles existentes y cun eficazmente reducen las vulnerabilidades. Por ejemplo, un sistema de informacin puede tener una vulnerabilidad a las amenazas de suplantacin de identidad de usuario y mal uso de recursos. La vulnerabilidad de suplantacin de identidad de usuario puede ser alta debido a la falta de autentificacin de usuario. Por otro lado, la posibilidad de un mal uso de recursos puede ser alta a pesar de la falta de autentificacin de usuario porque las guas para utilizar mal los recursos son limitadas.

Dependiendo de la necesidad de exactitud, los activos se pueden agrupar, o puede ser necesario dividir los activos en sus elementos y relacionar los escenarios a los elementos. Por ejemplo, a travs de sitios geogrficos la naturaleza de las amenazas a los mismos tipos de activos puede cambiar o puede variar la eficacia de los controles existentes.
Producto: Posibilidad de escenarios de incidentes (cuantitativos o cualitativos). 8.2.2.4 Nivel de estimacin del riesgo Insumos: Una lista de escenarios de incidentes con sus consecuencias relacionadas a activos y procesos del negocio y su posibilidad (cuantitativa o cualitativa). Accin: El nivel de riesgo debe estimarse para todos los escenarios de incidentes relevantes (se relaciona con la norma ISO/IEC 27001, apartado 4.2.1 e) 4)). Gua de implementacin: La estimacin del riesgo asigna valores a la posibilidad y a las consecuencias de un riesgo. Estos valores pueden ser cualitativos o cuantitativos. La estimacin del riesgo se basa en las consecuencias evaluadas y en su posibilidad. Adicionalmente, puede considerar el beneficio del costo, las preocupaciones de los intereses y otras variables, segn sea apropiado para la evaluacin del riesgo. El riesgo estimado es una combinacin de la posibilidad de un escenario de incidentes y sus consecuencias. En el Anexo E se pueden encontrar ejemplos de distintos mtodos o enfoques de estimacin del riesgo en seguridad de la informacin. Producto: Una lista de riesgos con niveles asignados de valor. 8.3 Evaluacin del riesgo

Insumo: Una lista de riesgos con niveles asignados de valor y criterios de evaluacin del nesgo. Accin: El nivel de riesgo debe compararse contra los criterios de evaluacin del riesgo y los criterios de aceptacin del riesgo (se relaciona con la norma ISO/IEC 27001, apartado 4.2.1 e) 4)). Gua de implementacin: La naturaleza de las decisiones que corresponden a la evaluacin del riesgo y a los criterios de evaluacin del riesgo que se utilizarn para tomar esas decisiones se decidirn cuando se establezca el contexto. Estas decisiones y el contexto deben volverse a revisar en ms detalle en esta etapa cuando se sabe ms sobre los riesgos particulares identificados. Para evaluar los riesgos, las organizaciones deben comparar los riesgos estimados (utilizando mtodos o enfoques de seleccin tal como se menciona en el Anexo E) con los criterios de evaluacin del riesgo definidos durante la

determinacin del contexto. Los criterios de evaluacin del riesgo utilizados para tomar la decisin deben ser consistentes con el contexto de gestin del riesgo en seguridad de la informacin definido externa e internamente y se debe tomar en cuenta los objetivos de la organizacin y el punto de vista de los interesados, etc. Las decisiones que se toman en la actividad de evaluacin del riesgo se basan principalmente en el nivel de riesgo aceptable. Sin embargo, tambin se debe considerar las consecuencias, posibilidad y grado de confianza en el riesgo, identificacin y anlisis. La agregacin de mltiples riesgos bajos o medios pueden resultar en riesgos generales mucho ms altos que requieren tratarse de manera correspondiente. Las consideraciones deben incluir:

Propiedades de la seguridad de la informacin: si un criterio no es relevante para la organizacin (por ejemplo prdida de confidencialidad), entonces todos los riesgos que impactan a este criterio pueden no ser relevantes. La importancia del proceso de negocio o actividad apoyada por un activo particular o conjunto de activos: si se determina que el proceso es de baja importancia, los riesgos asociados con l deben recibir una consideracin ms baja que los riesgos que impactan a procesos o actividades ms importantes.
La evaluacin del riesgo utiliza la comprensin del riesgo obtenida por el anlisis del riesgo para tomar decisiones sobre acciones futuras. Las decisiones deben incluir: Las prioridades para el tratamiento del riesgo considerando niveles estimados de riesgo. Durante la etapa de evaluacin del riesgo, los requisitos contractuales legales y regulatorios son factores que deben tomarse en cuenta adems de los riesgos estimados. Producto: Una lista de riesgos priorizada de acuerdo con los criterios de evaluacin del riesgo en relacin con los escenarios de incidentes que llevan a esos riesgos.

ANEXOB (INFORMATIVO) IDENTIFICACIN Y VALORIZACIN DE ACTIVOS Y EVALUACIN DE IMPACTO

B.1.

Ejemplos de identificacin de activos

Para realizar una valorizacin de activos, una organizacin necesita primero identificar sus activos (a un nivel apropiado de detalle). Se puede distinguir dos tipos de activo: Los activos primarios: Procesos y actividades del negocio Informacin Los activos de apoyo (sobre los cuales descansan los elementos primarios del alcance) de todo tipo: Hardware Software Red Personal Sitio Estructura de la organizacin B.1.1. Identificacin de activos primarios Para describir el alcance de manera ms exacta, esta actividad consiste en identificar los activos primarios (procesos y actividades del negocio, informacin). Esta identificacin se realiza por medio de un grupo de trabajo mixto que representa el proceso (gerentes, especialistas en sistemas informticos y usuarios).

Los activos primarios son usualmente los procesos e informacin centrales de la actividad en cuestin. Otros activos primarios como los procesos de la organizacin tambin pueden considerarse, lo cual ser ms apropiado para disear una poltica de seguridad de la informacin o un plan de continuidad del negocio. Dependiendo del propsito, algunos estudios no requerirn un anlisis exhaustivo de todos los elementos que conforman el alcance. En dicho caso, los lmites del estudio se pueden restringir a los elementos clave del alcance.

Los activos primarios son de dos tipos: 1. Procesos (o subprocesos) y actividades del negocio, por ejemplo Procesos cuya prdida o degradacin hace imposible llevar a cabo la misin de la organizacin. Procesos que contienen procesos secretos o procesos que involucran tecnologa propietaria. Procesos que, si se modifican, pueden afectar grandemente el logro de la misin de la organizacin. Procesos que son necesarios para que la organizacin cumpla con los requisitos contractuales, legales o regulatorios. 2. Informacin: De manera ms general la informacin primaria comprende principalmente: Informacin vital para el ejercicio de la misin o los negocios de la organizacin. Informacin personal que se puede definir especficamente en el sentido de las leyes nacionales respecto a la privacidad. Informacin estratgica necesaria para lograr los obj etivos determinados por las orientaciones estratgicas.
Informacin de alto costo cuya recoleccin, almacenamiento, procesamiento y transmisin requieren tiempo largo y/o involucran un alto costo de adquisicin. Los procesos y la informacin que no se identifican como sensibles no tendrn luego de esta actividad clasificacin en el resto del estudio. Esto significa que incluso si dichos procesos o informacin se encuentran comprometidos, la organizacin seguir cumpliendo con la misin exitosamente. Sin embargo, a menudo heredarn controles implementados para proteger los procesos y la informacin identificados como sensibles. B.1.2. Lista y descripcin de activos de apoyo

El alcance consiste de activos que deben identificarse y describirse. Estos activos tienen vulnerabilidades que son explotables por amenazas que tienen como objetivo desactivar los activos primarios del alcance (procesos e informacin). Son de varios tipos: Hardware El tipo de hardware consiste de todos los elementos fisicos que apoyan procesos: Equipamiento de procesamiento de datos (activo) El equipamiento automtico de procesamiento de la informacin incluye los artculos requeridos para operar independientemente. Equipo porttil El equipamiento automtico de procesamiento de la informacin incluye los artculos requeridos para operar independientemente. Equipo porttil Equipo de cmputo porttil. Ejemplos: computadora laptop, Asistente Digital Personal (PDA) Equipo fijo Equipo de cmputo utilizado en los locales de la organizacin. Ejemplos: servidor, microcomputadora usada como estacin de trabajo. Perifricos de procesamiento Equipo conectado a una computadora por medio de un puerto de comunicacin (serial, enlace paralelo, etc.) para ingresar, llevar o transmitir datos. Ejemplos: impresora, disco removible. Medio de datos (pasivo) Estos son medios para almacenar datos o funciones. Medio electrnico

Un medio de informacin que puede conectarse a una computadora o a una red de computadoras para el almacenamiento de datos. A pesar de su tamao compacto, estos medios pueden contener una gran cantidad de datos. Se pueden usar con equipo de cmputo estndar. Ejemplos: disco floppy, CD Rom, cartucho de respaldo, disco duro removible, memoria USB, cinta. Otros medios Medios estticos no electrnicos que contienen datos. Ejemplos: papel, diapositiva, transparencia, documentacin, fax. Software El software consiste de todos los programas que contribuyen con la operacin de un conjunto de procesamiento de datos. Sistema operativo Esto incluye todos los programas de una computadora que constituye la base operativa desde la cual se corren todos los dems programas (servicios o aplicaciones). Incluye un kernel y funciones o servicios bsicos. Dependiendo de la arquitectura, un sistema operativo puede ser monoltico o estar conformado de un microkernel y un conjunto de servicios del sistema. Los elementos principales del sistema operativo son todos los servicios de administracin del equipo (CPU. memoria, disco e interfases de red), servicios de administracin de tareas o procesos y servicios de manejo de derechos de usuario Software de servicio, mantenimiento o administracin Software caracterizado por el hecho de que complementa los servtcios del sistema operativo y no est directamente al servicio de los usuarios o aplicaciones (aunque usualmente es esencial o incluso indispensable para la operacin global del sistema de operacin). Software en paquetes o software estndar El software estndar o el software en paquetes son productos completos que se comercializan como tales (en vez de uno en su clase o desarrollos especficos) con medio, versin y mantenimiento. Proporcionan servicios a los usuarios y aplicaciones pero no estn personalizados o son especficos como son las aplicaciones de negocios.

Ejemplos: software de administracin de bases de datos, software de mensajena electrnica, groupware, software de directorios, software para servidores de web, etc. Aplicacin empresarial Aplicacin empresarial estndar Este es software comercial diseado para dar a los usuarios acceso directo a los servicios y funciones que requieren de su sistema de informacin en su contexto profesional. Existe un rango de campos muy amplio, tericamente ilimitado. Ejemplo: software de cuentas, software de control metalmecnico, software de atencin al cliente, software de administracin de competencias personales, software administrativo, etc. Aplicacin empresarial especfica Este es software en el que varios aspectos (principalmente el soporte, el mantenimiento, las mejoras, etc.) se han desarrollado especficamente para darle a los usuarios acceso directo a los servicios y funciones que requieren de su sistema de informacin. Existe un rango de campos muy amplio, tericamente ilimitado Ejemplos: administracin de facturas de clientes de operadores de telecomunicaciones, aplicacin de monitoreo en tiempo real para el lanzamiento de cohetes El tipo red consiste de todos los dispositivos de telecomunicaciones que se usan para interconectar varias computadoras fsicamente remotas o elementos de un sistema de operacin Medio y soporte Las comunicaciones y los medios o equipos de telecomunicaciones se caracterizan principalmente por las propiedades fsicas y tcnicas del equipo (punto a punto, transmisin) y por los protocolos de comunicacin (enlace o red - niveles 2 y 3 de modelo de capas OSI7)

Ejemplos: Red de Telefona Pblica Conmutada (PSTN), Ethernet, GigabitEthernet, Lnea Digital Asimtrica de Suscriptor (ADSL), especificaciones de protocolos inalmbricos (por ejemplo WiFi 802.11), Bluetooth o Wirefire. Rel pasivo o activo

Este sub-tipo incluye todos los dispositivos que no son las terminaciones lgicas de las comunicaciones (visin IS), sino que son dispositivos intermedios o rels. Los rels se caracterizan por los protocolos de comunicacin de red soportados. Adems del rel bsico, a menudo incluye el ruteo y/o funciones y servicios de filtrado, empleando conmutadores de comunicacin y ruteadores con filtro. A menudo se pueden administrar remotamente y son usualmente capaces de generar registros. Ejemplos: puente, ruteador, hub, conmutador, intercambio automtico. Interfaz de comunicacin Las interfaces de comunicacin de las unidades de procesamiento se conectan a las unidades de procesamiento pero se caracterizan por los medios y los protocolos soportados, por cualquier filtrado instalado, registro o funciones de generacin de advertencias y sus capacidades y por la posibilidad y el requisito de la administracin remota. Ejemplos: Servicio General de Radio por Paquetes (GPRS), adaptador de Ethernet.
Personal El tipo personal consiste de todos los grupos de personas involucradas en el sistema informtico. Responsable de tomar decisiones Los responsables de tomar decisiones son los propietarios de los activos primarios (informacin y funciones) y los administradores de la organizacin o del proyecto especfico. Ejemplos: altos gerentes, lderes de proyectos. Usuarios Los usuarios son el personal que manej a elementos sensibles en el contexto de su actividad y que tienen una responsabilidad especial en este sentido. Pueden tener derechos especiales de acceso al sistema de informacin para realizar sus tareas cotidianas. Ejemplos: gerente de recursos humanos, gerente financiero, gerente de riesgos. Personal de operaciones y mantenimiento Este es el personal que est a cargo de operar y mantener el sistema de informacin. Tienen derechos especiales de acceso al sistema de informacin para realizar sus tareas cotidianas. Ejemplos: administrador del sistema, administrador de datos, respaldo, escritorio de ayuda, operador de despliegue de aplicaciones, funcionarios de seguridad.

Desarrolladores

Los desarrolladores estn a cargo de desarrollar las aplicaciones de la organizacin. Tienen acceso a parte del sistema de operacin con derechos de alto nivel pero no toman ninguna accin sobre los datos de produccin. Ejemplos: desarrolladores de aplicaciones empresariales. El tipo sitio comprende todos los lugares que contienen el alcance o parte del alcance y los medios fsicos requeridos para que opere. Ubicacin Entorno externo Esto concierne a todos los lugares en los que los medios de seguridad de la organizacin no se pueden aplicar. Ejemplos: lugares del personal, locales de otra organizacin, ambientes fuera del sitio (rea urbana, rea de peligro). Locales Este lugar est delimitado por el permetro de la organizacin que se encuentra directamente en contacto con el exterior. Este puede ser un lindero protector fsico obtenido por la creacin de barreras fsicas o medios de vigilancia alrededor de los edificios. Ejemplos: establecimientos, edificios Una zona est formada por un lindero protector fsico que forma divisiones dentro del local de una organizacin. Se obtiene creando barreras fsicas alrededor de las infraestructuras de procesamiento de informacin de la organizacin. Ejemplos: oficinas, zona de acceso reservado, zona segura. Servicios esenciales Todos los servicios requeridos para que opere el equipo de la organizacin Comunicacin Los servicios de telecomunicaciones y equipamiento que provee un operador. Ejemplos: lnea telefnica, PABX, redes de telefona internas. Servicios pblicos Servicios y medios (fuentes y cableado) requeridos para proveer energa al equipo de tecnologa de la informacin y perifricos.

Ejemplos: suministro de energa elctrica de bajo voltaje, inversor, cabecera de cable de circuito elctrico. Suministro de agua. Disposicin de residuo. Servicios y medios (equipo, control) para enfriar y purificar el aire. Ejemplos: tuberas de agua enfriadas, equipo de aire condicionado. Organizacin. El tipo referente a organizacin describe el marco organizativo, consistente de todas las estructuras de personal asignadas a una tarea y los procedimientos que controlan estas estructuras. Autoridades Estas son organizaciones desde las cuales la institucin estudiada deriva su autoridad. Pueden estar afiliadas legalmente o ser externas. Esto impone restricciones en la organizacin estudiada en trminos de regulaciones, decisiones y acciones. Ejemplo: rgano administrativo, oficina central de una organizacin. Estructura de la organizacin Esta consiste de las distintas sucursales de la organizacin, incluyendo sus actividades funcionales trasversales, bajo el control de su gerencia. Ejemplos: gerencia de recursos humanos, gerencia de TI, gerencia de adquisiciones, gerencia de la unidad de negocio, servicio de seguridad de edificios, servicio contra incendios, gerencia de auditoras. Organizacin de proyecto o sistema Esto se refiere a la accin que se establece para un proyecto o servicio especfico. Ejemplo: nueva aplicacin de un proyecto de desarrollo, proyecto de migracin del sistema de informacin. Sub contratistas / Proveedores / Practicantes Estas gadas a ella por contrato. Ejemplos: compaa de administracin de locales, compaa subcontratista, compaas consultoras. B.2
Valorizacin de activos

El siguiente paso luego de la identificacin del activo es acordar la escala que se debe utilizar y los criterios para asignar una ubicacin particular en esa escala a cada activo en base a la valorizacin. Debido a la diversidad de activos que se encuentra en la mayor parte de organizaciones, probablemente algunos activos que tienen un valor monetario conocido se valorizarn en la unidad de moneda local, mientras que a otros que tienen un valor cualitativo puede asignrseles un rango de valor, por ejemplo desde "muy bajo" a "muy alto". La decisin de usar una escala cuantitativa versus una escala cualitativa es en realidad cuestin de preferencia de la organizacin, pero debe ser relevante a los activos que se estn valorizando. Ambos tipos de valorizacin podran utilizarse para el mismo activo. Los trminos tpicos que se utilizan para la valorizacin cualitativa de activos incluyen palabras como insignificante, muy bajo, bajo, medio, alto, muy alto y crucial. La eleccin y rango de los trminos convenientes a una organizacin depende fuertemente de la necesidad que tiene una organizacin de seguridad, del tamao de la organizacin y de otros factores especficos a la organizacin. Criterios Los criterios utilizados como base para asignar un valor a cada activo deben escribirse en trminos claros. Este es a menudo uno de los aspectos ms dificiles de la valorizacin de activos ya que los valores de algunos activos tendrn que determinarse subjetivamente y debido a que muchos individuos probablemente harn la determinacin. Los criterios posibles a utilizar para determinar el valor de un activo incluyen su costo original, su costo de reemplazo y re-creacin o su valor puede ser abstracto, por ejemplo el valor de la reputacin de una organizacin. Otra base para la valorizacin de activos son los costos incurridos debido a la prdida de confidencialidad, integridad y disponibilidad como resultado de un incidente. Tambin se debe considerar como apropiados el no-repudio, la rendicin de cuentas, la autenticidad y la confiabilidad. Una valoracin as proveera las dimensiones de elementos importantes para el valor del activo, adems del costo de reemplazo, basndose en estimados de las consecuencias adversas al negocio que resultaran de incidentes de seguridad con un conjunto asumido de circunstancias. Se enfatiza que este enfoque da cuenta de las consecuencias que es necesario factorizar en la evaluacin del riesgo. Muchos activos pueden, durante el curso de la valorizacin, tener varios valores asignados. Por ejemplo, un plan de negocios se puede valorizar en base a la mano de obra utilizada para desarrollar el plan, se puede valorizar sobre la mano de obra respecto de los insumos y se puede valorizar sobre su valor para un competidor. Cada uno de los valores asignados probablemente diferir considerablemente. El valor asignado puede ser el mximo de todos los valores posible o puede ser la suma de uno o todos los valores posibles. En el anlisis final se debe determinar cuidadosamente cul valor o valores se asignan a un activo, ya que el valor final asignado entra en la determinacin de los recursos que se emplearn para la proteccin del activo. Reduccin a la base comn

Finalmente, todas las valorizaciones de activos tienen que reducirse a una base comn. Esto puede hacerse con la ayuda de criterios como los que siguen. Los criterios que se pueden utilizar para evaluar las condiciones posibles que resultan de una prdida de confidencialidad, integridad, disponibilidad, no-repudiacin, rendicin de cuentas, autenticidad o confiabilidad de los activos son:
Afectacin del desempeo empresarial. Prdida de buen nombre/ efecto negativo sobre la reputacin Infraccin asociada con informacin personal. Puesta en peligro de la seguridad personal. Efectos adversos sobre la aplicacin de la ley. Ruptura de la confidencialidad. Ruptura del orden pblico. Prdida financiera. Interrupcin de las actividades empresariales. Puesta en peligro de la seguridad ambiental. Otro enfoque para evaluar las consecuencias podra ser: Introduccin del servicio incapacidad de proveer el servicio. Prdida de confianza por parte de los clientes prdida de credibilidad en el sistema de informacin interna dao a la reputacin. Interrupcin de la operacin interna interrupcin en la organizacin misma costo interno adicional Interrupcin de la operacin de un tercero interrupcin en terceros que transan con la organizacin varios tipos de dao Infraccin de leyes/ regulaciones: incapacidad de cumplir con las obligaciones legales Ruptura de contrato incapacidad de cumplir con las obligaciones contractuales Peligro a la seguridad del personal/usuario peligro para el personal y/o los usuarios de la organizacin Ataque a la vida privada de los usuarios Prdidas financieras

Costos financieros para emergencia o reparacin: en trminos del personal en trminos del equipo en trminos de los estudios, informes de expertos Prdida de bienes/fondos/activos Prdida de clientes, prdida de proveedores Procesos judiciales y sanciones Prdida de una ventaja competitiva Prdida del liderazgo tecnolgico/tcnico Prdida de eficacia/confianza Prdida de reputacin tcnica Debilitamiento de la capacidad de negociacin Crisis industrial (huelgas) Crisis gubernamental Despidos Dao material Estos criterios son ejemplos de cuestiones a considerarse para la valorizacin de activos. Para llevar a cabo las valorizaciones, una organizacin tiene que seleccionar criterios relevantes para su tipo de negocio y necesidades de seguridad. Esto puede significar que algunos de los criterios listados anteriormente no sean aplicables y que otros puedan requerir aadirse a la lista. Escala Luego de establecer los criterios a considerarse, la organizacin deber ponerse de acuerdo sobre una escala a ser utilizada en toda la organizacin. El primer paso es decidir sobre el nmero de niveles a utilizarse. No existen reglas respecto al nmero de niveles ms apropiado. Si hay ms niveles se provee una granularidad mayor, pero a veces una diferenciacin muy fina hace que las asignaciones consistentes en toda la organizacin sean difciles. Normalmente cualquier nmero de niveles entre tres (por ejemplo, bajo, medio y alto) y diez puede utilizarse siempre y cuando sean consistentes con el enfoque que la organizacin est utilizando para todo el proceso de evaluacin del riesgo. Una organizacin puede definir sus propios lmites para la valorizacin de activos, como "bajo", "medio", o "alto". Estos lmites deben evaluarse de acuerdo con criterios seleccionados (por ej emplo, para prdidas financieras posibles, deben darse en valores monetarios, pero para consideraciones como la puesta en peligro de la seguridad del personal, la valorizacin monetaria puede ser complej a y puede no ser apropiada para todas las organizaciones). Finalmente, depende completamente de la organizacin el decidir qu se considera como una consecuencia "baja" o "alta". Una consecuencia que puede ser desastrosa para una organizacin pequea puede ser "baj a" o "insignificante" para una organizacin pequea.

Dependencias Cuanto ms relevantes y numerosos sean los procesos empresariales apoyados por un activo, mayor ser el valor de este activo. Deben identificarse las dependencias de los activos en los procesos empresariales y en otros activos tambin, ya que esto puede influenciar los valores de los activos. Por ejemplo, la confidencialidad de datos debe mantenerse a lo largo de su ciclo de vida, en todas las etapas, incluyendo el almacenamiento y el procesamiento, es decir, la seguridad necesita de almacenamiento y los programas y el procesamiento deben estar directamente relacionados con el valor que representa la confidencialidad de los datos almacenados y procesados. Adems, si un proceso empresarial depende de la integridad de que un programa produzca ciertos datos, los datos insumo de este programa deben tener una confiabilidad apropiada. Adems, la integridad de la informacin depender del hardware y el software que se utilice para el almacenamiento y el procesamiento. El hardware tambin depender del suministro de electricidad y posiblemente del aire acondicionado. De este modo, la informacin sobre las dependencias ayudar a identificar las amenazas y particularmente las vulnerabilidades. Por otro lado, ayudar a asegurar que se de a los activos el verdadero valor de los activos (a travs de las relaciones de dependencias), indicando as el nivel apropiado de proteccin. Los valores de los activos de los que otros activos dependen se pueden modificar de la manera siguiente: Si los valores de los activos dependientes (por ejemplo datos) son ms bajos o iguales a los valores del activo considerado (por ejemplo software), su valor sigue siendo el mismo. Si los valores del activo dependiente (por ejemplo datos) es mayor, entonces el valor del activo considerado (por ejemplo software) debe incrementarse de acuerdo con el grado de dependencia los valores de otros activos. Una organizacin puede tener algunos activos que estn disponibles ms de una vez, como las copias de programas de software o del mismo tipo de computadora utilizado en la mayor parte de oficinas. Es importante considerar este hecho cuando se hace la valorizacin de activos. Por un lado, estos activos se desatienden fcilmente, por lo tanto se debe tener cuidado en identificar a todos ellos. Por otro lado, se les podra utilizar para reducir los problemas de disponibilidad. Producto El producto final de este paso es una lista de activos y sus valores relativos respecto de la divulgacin (preservacin de confidencialidad), modificacin (preservacin de la integridad, autenticidad, no-repudio y rendicin de cuentas), no-disponibilidad y destruccin (preservacin de la disponibilidad y confiabilidad) y costo de reemplazo.

B.3 Evaluacin del impacto

Un incidente en la seguridad de la informacin puede impactar ms que un activo o slo una parte de un activo. El impacto se relaciona con el grado de xito del incidente. Como consecuencia, existe una diferencia importante entre el valor del activo y el impacto que resulta del incidente. Se considera que el impacto tiene ya sea un efecto inmediato (operativo) o futuro (empresarial) que incluye consecuencias financieras y de mercado. El impacto operativo inmediato es ya sea directo o indirecto. Directo: a) El valor de reemplazo financiero de activos perdidos o parte de los mismos. b) El costo de adquisicin, configuracin e instalacin del nuevo activo o respaldo. c) El costo de las operaciones suspendidas debido al incidente hasta que el servicio proporcionado por el (los) activo (s) se restaure. d) Resultados del impacto en una ruptura de la seguridad de la informacin Indirecto: a) Costo de oportunidad (se tiene que usar recursos financieros para reemplazar o reparar un activo que podra haber sido utilizado en otro lugar. b) El costo de las operaciones interrumpidas. c) Un mal uso potencial de la informacin obtenida a travs de una ruptura de la seguridad. d) Violacin de obligaciones estatutarias o regulatorias. e) Violacin de cdigos de conducta ticos. Como tal, la primera evaluacin (sin controles de ningn tipo) estimar un impacto como muy cercano al (a los) valor (es) concernido (s) o a una combinacin de los mismos. Para cualquier iteracin siguiente sobre este (estos) activo (s), el impacto ser diferente, normalmente mucho ms bajo debido a la presencia y a la eficacia de los controles implementados.