Professional Documents
Culture Documents
TRATAMIENTO DE RIESGOS
Tabla de contenido
2. DOCUMENTOS DE REFERENCIA........................................................................................... 3
El objetivo del presente documento es definir la metodologa para evaluar y tratar los
riesgos de la informacin en MINEDU y definir el nivel aceptable de riesgo segn la
norma NTP ISO/IEC 27001.
Los usuarios de este documento son todos los empleados de PRONABEC que
participan en la evaluacin y tratamiento de riesgos.
2. DOCUMENTOS DE REFERENCIA
3.1.1. El proceso
- Windows Profesional 7
Tipos de Activo
CATEGORIA TIPO
Informacin electrnica
Informacin Documental Informacin escrita
Informacin hablada
Software base o sistema operativo
Software comercial o herramientas, utilitarios
Software desarrollado por terceros
Software
Software desarrollado internamente
Software de administracin de Base de Datos
Otro Software
Equipo de procesamiento
Equipo de comunicaciones
Activo Fsico Medio de almacenamiento
Mobiliario y Equipamiento
Otros equipos
Procesamiento y Comunicaciones
Servicios de Terceros Servicios Generales
Otros Servicios
Clientes
Personal
Personal
Directores
Personal Externo
Tabla 2: Tabla 2: Tipo de Activo
h. Clasificar el activo de informacin segn lo especificado en el punto 3.1.2.1
Clasificacin y Tratamiento del activo.
Probabilidad de ocurrencia.
Impacto o severidad.
Nivel 1 2 3 4
Nivel de Controles
Existen controles mejorados
continuamente para prevenir, 1 1 1.5 2 2.5
mitigar o eliminar el riesgo
Existen controles para prevenir,
mitigar o eliminar el riesgo,
2 1.5 2 2.5 3
medibles, pero no son mejorados
continuamente.
Existen controles para prevenir,
mitigar o eliminar el riesgo, pero 3 2 2.5 3 3.5
no estn documentados
No existen controles para
prevenir, mitigar o eliminar el 4 2.5 3 3.5 4
riesgo o impacto ambiental
Tabla 6: Probabilidad de Ocurrencia
No afecta a la institucin
No afecta la operatividad de los procesos de la institucin.
Bajo 1 No afecta econmicamente a la institucin con posibilidad de recuperacin sin
costo o con recursos disponibles.
Afecta parcialmente a la Institucin.
Afecta parcialmente la operatividad de los procesos de la Institucin.
Medio 2 Afecta parcialmente a la institucin con posibilidad de recuperacin a bajo o
corto plazo.
Afecta drsticamente a la institucin.
Afecta drsticamente la operatividad de los procesos de la institucin.
Alto 3 Afecta drsticamente a la institucin con posibilidad de recuperacin a costos
elevados a largo plazo.
Afecta irreversiblemente a la Institucin.
Afecta irreversiblemente la operatividad de los procesos de la institucin.
Muy Afecta irreversiblemente a la Institucin, ocasionando prdidas cuantiosas, sin
Alto 4 posibilidad de recuperacin.
Tabla 7: Impacto o severidad
De acuerdo con los resultados de probabilidad de ocurrencia e impacto, se obtiene el
nivel de exposicin al riesgo, segn la tabla 8 Nivel de Exposicin al Riesgo:
IMPACTO O SEVERIDAD
Bajo Moderado Alto Muy Alto
NIVEL 1 2 3 4
Bajo
1 1 2 3 4
Moderado
Probabilidad 2 2 4 6 8
de ocurrencia
Alto
3 3 6 9 12
Muy Alto
4 4 8 12 16
Tabla 8: Nivel de Exposicin al Riesgo
Bajo 1,2
Moderado 3 al 6 Aceptable
Alto 8,9
Muy Alto 12,16 No aceptable
Tabla 9: Significancia del Riesgo
Criterio de Riesgo: Los riesgos no aceptables son tratados de forma pertinente para
cada caso e incluidos en la matriz respectiva. En el anexo.1 se muestra los alcances
para el tratamiento de riesgos de la seguridad de la informacin.
Los propietarios de riesgos deben revisar los riesgos vigentes y deben actualizar el
inventario de activos y la matriz de riesgos con los nuevos riesgos identificados. La
revisin se realiza al menos una vez por ao, o con mayor frecuencia en caso de
cambios organizacionales significativos, cambios importantes en tecnologa, en los
objetivos de la institucin, en el entorno empresarial, etc.