METODOLOGA DE EVALUACIN Y

TRATAMIENTO DE RIESGOS
Tabla de contenido

1. OBJETIVO, ALCANCE Y USUARIOS...................................................................................... 3

2. DOCUMENTOS DE REFERENCIA........................................................................................... 3

3. METODOLOGA DE EVALUACIN Y TRATAMIENTO DE RIESGOS ................................ 3

3.1. EVALUACIN DE RIESGOS ................................................................................................................ 3

3.1.1. El proceso ......................................................................................................................... 3
3.1.2. Elaboracin del Inventario de Activo de Informacin ................................................. 3
3.1.2.1. Clasificacin y Tratamiento del activo ............................................................................. 7
3.1.2.2. Valorizacin del activo ....................................................................................................... 8
3.1.3. Evaluacin de riegos/impactos ...................................................................................... 9
3.1.3.1 Valoracin de Riesgos: ..................................................................................................... 10
1. OBJETIVO, ALCANCE Y USUARIOS

El objetivo del presente documento es definir la metodologa para evaluar y tratar los
riesgos de la informacin en MINEDU y definir el nivel aceptable de riesgo segn la
norma NTP ISO/IEC 27001.

La evaluacin y tratamiento de riesgos se aplican a todo el alcance del Sistema de

Gestin de Seguridad de la informacin (SGSI); es decir, a todos los activos que se
utilizan dentro de la organizacin o que pueden tener un impacto sobre la seguridad de
la informacin en el mbito del SGSI.

Los usuarios de este documento son todos los empleados de PRONABEC que
participan en la evaluacin y tratamiento de riesgos.

2. DOCUMENTOS DE REFERENCIA

Norma NTP ISO/IEC 27001, captulos 6.1.1 y 6.1.2, 8.2, y 8.3

Poltica de seguridad de la informacin
Lista de requisitos legales, normativos y contractuales y dems requisitos
Poltica de seguridad para proveedores
Declaracin de aplicabilidad

3. METODOLOGA DE EVALUACIN Y TRATAMIENTO DE RIESGOS

3.1. Evaluacin de riesgos

3.1.1. El proceso

El proceso inicia con la elaboracin del Inventario de Activo de Informacin, aqu se

realiza una tasacin del activo teniendo en cuenta su integridad, disponibilidad y
confidencialidad. Luego se procede a realizar la matriz de Riesgos de la Informacin
donde se identifican las amenazas y vulnerabilidades a las que estn expuestos los
activos. Finalmente se procede a realizar el Plan de tratamiento de Riesgos.

La Identificacin de los Activos, Matriz de Riesgos, y el Plan de tratamiento de Riesgo

lo realizar el Oficial de Seguridad de la Informacin en coordinacin con los
propietarios de los activos, de ser necesario tambin se tomar en cuenta la opinin
de una persona especialista en riesgos de Informacin.

3.1.2. Elaboracin del Inventario de Activo de Informacin

Registrar los activos de informacin en el formato 3_Inventario de Activos de

Informacin Inventario de los Activos de Informacin segn lo siguiente:

a. Asignar cdigo y nombre al activo de informacin.

b. Establecer la categora del activo: Los activos son categorizados y registrados

segn las categoras descritas en la Tabla 1.
 Tipos Categoras Descripcin
Documentos creados y/o
conservados en papel (planes,
programas, estudios, informes,
material de entrenamiento,
Activos de contratos firmados, reportes,
Informacin certificados, facturas, memos,
Documentos/Digital Informacin escrita documentos de embarque, etc.)
Base de datos y documentos
creados y o conservados en medios
electrnicos (correo electrnico,
audio, video, cintas, DVD, entre
Informacin electrnica otros).
Conversaciones presenciales,
telefnicas, presentaciones orales o
a travs de medios virtuales (video
Informacin hablada conferencia).
- VMware Vsphere Enterprise Plus
- Windows Server 2008 R2
- Windows Server 2012 Standard
- Linux Centos
- Linux Ubuntu

- Windows Profesional 7

- Microsoft .NET Framework

- Java 2 Runtime Environment
Software base o sistema operativo - Java SE Development Kit
- Office Professional 2016
- Adobe Creative Suite
- CorelDRAW
- OCS Inventory
Antivirus Kaspersky
FreeFileSync
Proxmox
Bizagi Process Modeler
7-Zip
Acrobat Reader
Opera Software ASA
CCleaner Free
PDF Creator GmbH
Disk Cleaner
Adblock Plus for IE
Activo de Software Adobe Flash Player 10 ActiveX
Google Chrome
Notepad++
FileZilla Client
Foxit Reader
Mozilla Firefox
K-Lite Codec Pack
Libre Office
WinSCP
Nero Burning ROM
Skype
Software comercial o herramientas, StarUML
utilitarios XAMPP
- CallPRO Tarificador.
- Google Drive
Software desarrollado por terceros - Google Gmail
 Software desarrollado internamente - WinSibec
Software de administracin de Base - MS SQL Server 2012
de Datos - MySql AB
- SIGA
- SIAF
- SINAD Sistema d Tramite
Documentario del MINEDU
- SIJE MINEDU
WinFIRMA
Software Gubernamental - PDT Planilla Electrnica.
Servidores, computadoras, laptops,
Equipo de procesamiento tablets
Red LAN (ruteadores, switches),
red telefona (central telfonos), red
inalmbrica (Access point), entre
Equipo de comunicaciones otros
Cintas, CDs, DVDs, memorias
Medio de Almacenamiento USB.
Cajas Fuertes, Estantes, gavetas,
Mobiliario y Equipamiento etc.
- Impresoras.
Activos Fsicos - Tablets.
- Escneres.
- Proyectores.
- Plotters.
- Pizarras electrnicas.
Equipos de impresin y presentacin - Equipo multifuncional.
- NAS Buffalo Terastation.
Otros Equipos - Tape Backup.
Outsourcing TI, de procesamiento
de la informacin, de impresin, de
fotocopiado, de mensajera, de
internet, telefona fija y celular,
Procesamiento y Comunicaciones entre otros
Energa elctrica, abastecimiento
de agua, aire acondicionado, entre
Servicios Servicios generales otros
(Terceros) Servicio de intermediacin laboral,
proveedores de servicios
Otros servicios (externos), entre otros.
Usuarios y consumidores de los
Clientes servicios de la Institucin
Recursos Personal contratado directamente
Humanos por PRONABEC bajo las
modalidades de Planilla,
Contratacin Administrativa de
Personal Servicios, Pasantes y practicantes.
Directores Miembros del Consejo Directivo
Personal externo contratado por
proyecto o actividad especfica que
Personal Externo tiene un inicio y fin definido.
Tabla 1: Categora de Activos de Informacin

c. Describir al activo de informacin, conceptualizndolo dentro del proceso funcional,

sus caractersticas (documentacin en papel, software, hardware), y sus
requerimientos respecto de seguridad de la informacin.
d. Registrar la ubicacin fsica o lgica del activo. En el caso de ubicacin fsica,
detallar la instalacin donde se encuentra y si la gestin es tercerizada o propia. En el
caso del activo lgico detallar el nombre del archivo de la base de datos o esquema y
del servidor donde se encuentra, si se encuentra en redundancia y/o respaldo y si su
gestin es tercerizada.

e. Identificar al responsable y custodio del activo de informacin, teniendo en cuenta lo

siguiente:

Propietario del activo: Registrar el cargo y rea del responsable de controlar

el uso y seguridad del activo de informacin. Tiene autoridad formal y no
significa que tenga derechos de propiedad sobre el activo.
Custodio del activo: Registrar el cargo y rea del responsable que opera,
emplea, mantiene y protege al activo de informacin como parte de sus
funciones regulares. Puede haber ms de un custodio.

f. Identificar y sealar si el activo de informacin se encuentra asociado a exigencias

legales, reglamentarias o contractuales.

g. Registrar el tipo de activo segn la categora a la que corresponde y conforme a la

siguiente Tabla:

Tipos de Activo

CATEGORIA TIPO
Informacin electrnica
Informacin Documental Informacin escrita
Informacin hablada
Software base o sistema operativo
Software comercial o herramientas, utilitarios
Software desarrollado por terceros
Software
Software desarrollado internamente
Software de administracin de Base de Datos
Otro Software
Equipo de procesamiento
Equipo de comunicaciones
Activo Fsico Medio de almacenamiento
Mobiliario y Equipamiento
Otros equipos
Procesamiento y Comunicaciones
Servicios de Terceros Servicios Generales
Otros Servicios
Clientes
Personal
Personal
Directores
Personal Externo
Tabla 2: Tabla 2: Tipo de Activo
h. Clasificar el activo de informacin segn lo especificado en el punto 3.1.2.1
Clasificacin y Tratamiento del activo.

i. Valorar el activo de informacin segn lo especificado en el punto 3.1.2.2

Valorizacin del activo.

j. Aprobar el inventario de Activos de Informacin por el Responsable del Proceso, El

Oficial de Seguridad de la Informacin y el Propietario de los Activos de Informacin.

3.1.2.1. Clasificacin y Tratamiento del activo

a. Los propietarios clasifican los activos de informacin considerando su nivel de uso y

autorizacin de acceso, teniendo en consideracin la Tabla 3.
b. Los custodios de informacin cumplen las medidas de tratamiento especificadas en
la Tabla 3 segn la clasificacin de los activos de informacin que custodian.

Nivel de Etiquetado Criterios de clasificacin Restriccin de

confidencialidad acceso
Pblica sin etiquetar Hacer pblica la informacin La informacin est
no puede daar a la disponible para todo el
organizacin de ninguna pblico
forma
Uso interno sin etiquetar El acceso no autorizado a la La informacin est
informacin no puede daar a disponible para todos
la organizacin de ninguna los empleados y
forma, pero el uso de la terceros seleccionados
informacin por terceros
podra ocasionar daos y/o
inconvenientes menores a la
organizacin.
Restringida RESTRINGIDA El acceso no autorizado a la La informacin est
informacin podra daar disponible solamente
considerablemente a la para un grupo
institucin y/o la reputacin. especfico de
empleados y de
terceros autorizados
Confidencial CONFIDENCIAL El acceso no autorizado a la La informacin est
informacin podra daar de disponible solamente
forma catastrfica para personas de la
(irreparable) a la institucin organizacin.
y/o la reputacin.
Tabla 3: Clasificacin de Activos de Informacin
 3.1.2.2. Valorizacin del activo

Se estima el valor del activo de informacin, teniendo en cuenta su importancia

sobre el desempeo y continuidad del proceso, y respecto de sus
requerimientos de confidencialidad, integridad y disponibilidad, calculndose
como el promedio de los valores asignados a cada atributo, especificados en la
Tabla 4:

Confidencialidad Integridad Disponibilidad

(Cuando la prdida o (Cuando la prdida o falla (Cuando la prdida o falla
falla de un de un de un
determinado activo determinado activo afecta determinado activo afecta
afecta la divulgacin o la exactitud y completitud la accesibilidad y
revelamiento no de la informacin, disposicin de la
autorizado de la impactando la informacin, impactando la
informacin, operatividad, operatividad,
impactando la competitividad, el competitividad, el
Clasificacin operatividad, cumplimiento legal, cumplimiento legal,
(Valor) competitividad, el rentabilidad o imagen de rentabilidad o imagen de
cumplimiento legal, la Institucin) la Institucin)
rentabilidad o imagen
de la Institucin)
Muy Alto
(5) Impacto irreversible Impacto irreversible Impacto irreversible
Alto
(4) Impacta grave Impacta grave Impacta grave
Medio
(3) Impacto considerable Impacto considerable Impacto considerable
Bajo
(2) Impacto parcial Impacto parcial Impacto parcial
Muy Bajo No hay impacto o es No hay impacto o es No hay impacto o es
(1) demasiado bajo demasiado bajo demasiado bajo
Tabla 4: Valoracin del activo

Se estima la tasacin del activo de informacin, identificando el valor del activo

dentro del rango de tasacin, bajo los criterios detallados a continuacin:

Valor Mnimo Valor Mximo Tasacin

3,334 5,000 Alto

1,668 3,333 Medio

1,000 1,667 Bajo

Tabla 5: Tasacin del Activo
3.1.3. Evaluacin de riegos/impactos

La evaluacin de los riesgos/impactos identificados se realiza en funcin a los

siguientes criterios:

Probabilidad de ocurrencia.
Impacto o severidad.

La probabilidad de ocurrencia del riesgo/impacto se determina utilizando los valores

del nivel de controles y la frecuencia de la causa del riego, siendo el valor de la
probabilidad de ocurrencia del riesgo el promedio de estos valores.

Una vez Una vez Una vez a

Frecuencia Una vez
cada al la
al ao
3 meses mes semana

Nivel 1 2 3 4
Nivel de Controles
Existen controles mejorados
continuamente para prevenir, 1 1 1.5 2 2.5
mitigar o eliminar el riesgo
Existen controles para prevenir,
mitigar o eliminar el riesgo,
2 1.5 2 2.5 3
medibles, pero no son mejorados
continuamente.
Existen controles para prevenir,
mitigar o eliminar el riesgo, pero 3 2 2.5 3 3.5
no estn documentados
No existen controles para
prevenir, mitigar o eliminar el 4 2.5 3 3.5 4
riesgo o impacto ambiental
Tabla 6: Probabilidad de Ocurrencia

Para determinar el impacto, se tiene en cuenta el criterio establecido en el siguiente

cuadro:

No afecta a la institucin
No afecta la operatividad de los procesos de la institucin.
Bajo 1 No afecta econmicamente a la institucin con posibilidad de recuperacin sin
costo o con recursos disponibles.
Afecta parcialmente a la Institucin.
Afecta parcialmente la operatividad de los procesos de la Institucin.
Medio 2 Afecta parcialmente a la institucin con posibilidad de recuperacin a bajo o
corto plazo.
Afecta drsticamente a la institucin.
Afecta drsticamente la operatividad de los procesos de la institucin.
Alto 3 Afecta drsticamente a la institucin con posibilidad de recuperacin a costos
elevados a largo plazo.
Afecta irreversiblemente a la Institucin.
Afecta irreversiblemente la operatividad de los procesos de la institucin.
Muy Afecta irreversiblemente a la Institucin, ocasionando prdidas cuantiosas, sin
Alto 4 posibilidad de recuperacin.
Tabla 7: Impacto o severidad
De acuerdo con los resultados de probabilidad de ocurrencia e impacto, se obtiene el
nivel de exposicin al riesgo, segn la tabla 8 Nivel de Exposicin al Riesgo:

Nivel de Exposicin al Riesgo= Probabilidad ocurrencia x Impacto

IMPACTO O SEVERIDAD
Bajo Moderado Alto Muy Alto
NIVEL 1 2 3 4
Bajo
1 1 2 3 4
Moderado
Probabilidad 2 2 4 6 8
de ocurrencia
Alto
3 3 6 9 12
Muy Alto
4 4 8 12 16
Tabla 8: Nivel de Exposicin al Riesgo

3.1.3.1 Valoracin de Riesgos:

Se realiza la valoracin de riesgos de acuerdo a los niveles obtenidos, para ello se

consideran los siguientes niveles de riesgos:

Nivel del Riesgo Significancia

Bajo 1,2
Moderado 3 al 6 Aceptable

Alto 8,9
Muy Alto 12,16 No aceptable
Tabla 9: Significancia del Riesgo

Criterio de Riesgo: Los riesgos no aceptables son tratados de forma pertinente para
cada caso e incluidos en la matriz respectiva. En el anexo.1 se muestra los alcances
para el tratamiento de riesgos de la seguridad de la informacin.

3.2. Revisiones peridicas de la matriz de riesgos y el tratamiento de riesgos

Los propietarios de riesgos deben revisar los riesgos vigentes y deben actualizar el
inventario de activos y la matriz de riesgos con los nuevos riesgos identificados. La
revisin se realiza al menos una vez por ao, o con mayor frecuencia en caso de
cambios organizacionales significativos, cambios importantes en tecnologa, en los
objetivos de la institucin, en el entorno empresarial, etc.