VALORACIN DE RIESGOS DEL SISTEMA DE INFORMACIN

Cules son los elementos y planes necesarios para la evaluacin de

riesgos presentes en los activos de informacin de la empresa?
Estos dos puntos son a la vez, los objetivos de la evaluacin de riesgos.
-

Identificar los riesgos y ponderarlos

Identificar los controles y ponderarlos

La ponderacin es importante para ver el grado de importancia, como se

muestra a continuacin:
Valoracin de riesgo
-

Nada frecuente
Poco frecuente
Normal
Frecuente
Muy frecuente

Valor

Ocurrencia

0.2
0.4
0.6
0.8
1

No ha sucedido.
Sucede cada 10 aos.
Sucede una vez al ao.
Sucede mensualmente
Sucede diariamente.

Tabla 1.

Escala de Consideracin
controles
Muy
- El control establecido tiene un diseo fuerte,
adecuado.
es automtico y se comprueba su
Adecuado.
efectividad.
Moderado. - El control establecido tiene un diseo fuerte,
Dbil.
no es automtico, se comprueba su
Muy dbil.
efectividad.
- El control establecido tiene un diseo fuerte,
no es automtico y no se comprueba su
efectividad.
- El control establecido no tiene un diseo
fuerte, no es automtico, pero se
comprueba su efectividad.
- El control establecido no tiene un diseo
fuerte, no es automtico, no se comprueba
su efectividad.

Eficien
cia (%)
90
70
50
30
10

Margin
alidad
0.1
0.3
0.5
0.7
0.9

Tabla 2.
Impacto al activo
- Insignificante
- Menor
- Moderado
- Mayor
- Catastrfico

Valor
0.2
0.4
0.6
0.8
1

Ocurrencia
- El activo no sufre daos que impidan su
operacin.
- El activo sufre daos y puede continuar
operando.
- El activo sufre daos y su operacin es
restringida.
- El activo sufre daos que impiden su
operacin y puede recuperar dentro del
tiempo tolerable para la operacin.
- El activo sufre daos irreparables y la
operacin se altera considerablemente.

Tabla 3.
Los planes necesarios para la evaluacin de riesgos es seguir las tres fases de la
valoracin de riesgos
Fases para la valoracin de riesgos
Identificacin de riesgos
Identificacin de controles
Valoracin de riesgos
Como asesor de la empresa y habiendo identificado los activos de
informacin, Simn desea saber cul es la valoracin del riesgo presente en
cada uno de los activos de la empresa y de qu manera aplica las normas y
metodologas de seguridad informtica.
Para el caso Simon y sabiendo que la empresa realiza trabajos contables.
Activo
Email,
licencias,
cortafuegos,
servidores proxy, servicios de red e
inhalmbrico, anti-virus, IDS, IPS,
FTP, soporte, mantenimiento.
Pc, laptop, servidores, ERP, MIS, ecommmerce
Personales, socios, proveedores,
oficinas, instalaciones, equipos de
alarmas, supresin contra incendios,
sistema
de
alimentacin
ininterrumpida,
acondicionadores,

Frecuencia
Nada frecuente

Valor
0.2

Poco frecuente

0.4

Normal

0.6

mdems, impresora, fotocopiadora

I+D,
Estratgico,
comercial, Frecuente
0.8
conocimiento,
experiencia,
marca/reputacin, confianza de los
clientes, tica.
Datos
financieros,
legales, Muy frecuente
1
presupuestos contables, documentos
contables, cajas
Tabla 4. Probabilidad de que ocurra una amenaza (valoracin del riesgo).

Adems se debe de tener en cuenta el:

Riesgo_inherente = frecuencia * degradacin
Riesgo_marginal = Riesgo_inherente * marginalidad