Professional Documents
Culture Documents
20
OBJETIVOS DE LA METODOLOGA
La metodologa no se limita a la
administracin de los riesgos, sino
no se limita a la
administracin de
los riesgos, sino que
permite hacer una
adecuada gestin
de los activos
de informacin.
Asimismo, incorpora
la posibilidad
de integrar la
gestin de riesgos
tecnolgicos a la
gestin de riesgos
operacionales.
Grfico N
.1
Gerencia de
Sistemas de
Informacin
Gerencia Proteccin de
Activos de Informacin
Preclasificacin del
Activo en cuanto a
Confidencialidad,
Disponibilidad y
Criticidad
Inventario
Tecnolgico
Preclasificacin
de Activos
Captulo I
Inventario de
Activos
Preclasificados
Sistemas de
Informacin y Gerencia
Proteccin de
Activos de Informacin
Identificacin y
evaluacin de
Riesgo
Concentrador
Ponderacin
de Riesgo
Clasificacin
del Activo en
cuanto al Riesgo
Riesgo
Ponderado
por Activos
Inventario de
Activos
Clasificados
Gestin
Gerencia de
Sistemas de
Informacin
Proteccin de
Activos de
Informacin
Captulo II
Mapa
integral de
Riesgo por
Activo
Riesgos
La metodologa
21
Tabla N1:
Escala de Valoracin de Impacto
Valor
Riesgos
22
Descripcin
CMO FUNCIONA?
Impacto
Bajo
Medio
La metodologa se divide en
dos captulos (Grfico N 1).
El captulo I contempla las
consideraciones a tener en cuenta
para la pre-clasificacin del activo
de informacin y el captulo II las
consideraciones a tener en cuenta
para el anlisis y gestin de riesgos
en los activos de informacin. A su
vez, el proceso de gestin de activos
se divide en cinco fases.
Identificacin de activos (Fase I).
Alto
Tabla N2:
Escala de Valoracin de Probabilidad de Ocurrencia
Valor
Descripcin
Eventual
Probable
Altamente
probable
Nmero de Veces
Ocurrencia
Baja
Media
Riesgos
Alta
Tabla N3:
Escala de Valoracin de Efectividad del Control
En materia de gestin
de riesgos tiene la
particularidad de
Escala
Descripcin
Valor
Muy Satisfactorio
0.25
Satisfactorio
0.5
Poco Satisfactorio o
Inexistente
orientar el anlisis
de riesgo hacia
amenazas concretas
o potenciales y no se
basa en un listado
pre-elaborado de
riesgos tericos.
As la metodologa
permite clasificar
a los activos de
informacin segn su
nivel de exposicin
al riesgo y su
importancia relativa al
negocio.
de ocurrencia; c) se identifica el
control existente evalundose si
existen implementados y funcionando
controles para mitigar el riesgo; d)
se evala la efectividad del control
utilizando la escala definida por el
banco (vase tabla N 3); y e) se
calcula el riesgo residual como el
producto entre el riesgo inherente y la
efectividad del control.
En esta fase se obtiene la
documentacin formal de los
riesgos tecnolgicos de los activos
de informacin del banco, que son
identificados y documentados por
las reas de sistemas y de seguridad,
siendo los primeros los responsables
Criterio
Si el control es Preventivo ya sea este de
naturaleza automtica o manual.
Si el control es Detectivo (ya sea de
naturaleza automtica o manual) o si
el control es Correctivo de naturaleza
automtica.
Si el control es Correctivo de naturaleza
manual, o bien si no existe el control.
23
Tabla N4:
Escala de Valoracin de la Clasificacin
Ponderador
Criticidad
Disponibilidad
Baja
mayor a 0
Altamente
Crtico
Crtico
Confidencialidad
Acceso Restringido o
Pblico
Riesgos
24
Crtico
Altamente Crtico
mayor a 0
Acceso Restringido o
Pblico
Medio
Alta
igual a 0
Acceso Restringido o
Sensible
Altamente Critico
Crtico
Baja
mayor a 0
Acceso Restringido o
Pblico
Moderado
Alta
igual a 0
Acceso Restringido o
Sensible
Crtico
Moderado
Clasificacin
Baja
Medio
Medio
Baja
mayor a 0
Acceso Restringido o
Pblico
Bajo
Alta
igual a 0
Acceso Restringido o
Sensible
Medio
igual a 0
Bajo
Acceso Restringido o
Sensible
Moderado
Moderado
Bajo
Comprende el mecanismo de
control de cumplimiento de los
planes de mitigacin aprobados.
Ello permite detectar desvos en
forma temprana pudiendo alertar
a los altos niveles gerenciales
del impacto de estos desvos en
relacin a la sensibilidad del activo
que se desea proteger.
RESULTADOS
Cabe indicar que se identificaron ms
de 300 activos de informacin sobre
los cuales se aplic la metodologa.
Con su aplicacin se optimizaron y
generaron controles sobre los activos
Revista ALIDE / enero-marzo 2013
En general, la implementacin de
la metodologa integral de GAI le
permiti al banco: 1) identificar
la situacin real de los activos de
informacin; 2) definir herramientas
grficas que permiten mantener
informadas a las altas autoridades
del nivel de vulnerabilidad al que
est expuesto el banco en cuanto
a sus recursos tecnolgicos;
3) aprovechar al mximo la
informacin obtenida de la gestin
de riesgo; 4) definir e implementar
planes de mitigacin para mejorar
el nivel de sensibilidad del activo
eliminando o mitigando los riesgos
a los que est expuesto, reubicando