Evaluación de riesgos
Identificación y evaluación de los riesgos mas relevantes que pueden provocar la interrupción de los procesos críticos, los cuales deben ser considerados en la estrategia de recuperación.
- Amenazas y vulnerabilidades más relevantes que puedan generar interrupciones en los procesos críticos.
- Activos importantes para los procesos críticos: Proceso/Gente, aplicaciones, registros vitales, infraestructura, instalaciones.
- Clasificación de los activos por su nivel de criticidad o relevancia para el negocio y la probabilidad de que se vean afectados por algún evento
- Identificar medidas de mitigación de riesgos necesarias
Activos
- Son Activos, los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección.
- El activo esencial es la información que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes:
- Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos.
- Las aplicaciones informáticas (software) que permiten manejar los datos.
- Los equipos informáticos (hardware) que permiten hospedar datos, aplicaciones y servicios.
- Los soportes de información que son dispositivos de almacenamiento de datos.
- El equipamiento auxiliar que complementa el material informático.
- Las redes de comunicaciones que permiten intercambiar datos.
- Las instalaciones que acogen equipos informáticos y de comunicaciones.
- Las personas que explotan u operan todos los elementos anteriormente citados.
Clasificación de Activos
Considerando la NTP 17799:2007
La clasificación se realiza mediante el proceso siguiente:
- Por Naturaleza
- Se determina la clase de Activo a la que pertenece: Tangible, Intangible o Servicios de TI. Esta clasificación permite:
- identificar la cantidad de activos que posee la empresa.
- identificar cuál es la clase de activo más importante de la empresa.
- Por Ponderación
- La clasificación por Ponderación es la continuación de la Clasificación por Naturaleza, ya que una vez identificado que clase de activos posee la empresa, debemos hacer una ponderación de qué clase de activo es la más importante.
- Esta ponderación estará sujeta a la siguiente tabla:
Nivel | Descripción |
---|---|
5 | Máxima Importancia |
4 | Muy Importante |
3 | Moderadamente Importante |
2 | Puede ser Importante |
1 | No es Importante |
Clase de activo | Entorno de TI global | Nombre del activo | Clasificación de activo |
---|---|---|---|
Tangible | Infraestructura física | Centro de datos | 5 |
Tangible | Infraestructura física | Servidores | 5 |
Tangible | Infraestructura física | Equipos de escritorio | 3 |
Tangible | Infraestructura física | Equipos móviles | 2 |
Tangible | Infraestructura física | Teléfonos móviles | 2 |
Tangible | Infraestructura física | Enrutadores | 4 |
Tangible | Infraestructura física | Conmutadores de red | 3 |
Tangible | Infraestructura física | Equipos Fax | 1 |
Tangible | Infraestructura física | Medios extraíbles (por ejemplo, cintas, disquetes, CD-ROM, DVD, discos duros, portátiles, dispositivos de almacenamiento PC Card, dispositivos de almacenamiento USB, etc.) | 4 |
Intangible | Reputación | 3 | |
Intangible | Buena Voluntad | 3 | |
Intangible | Moral de empleados | 3 | |
Intangible | Productividad de empleados | 4 | |
Servicios de TI | Mensajería | Mensajería instantánea | 4 |
Servicios de TI | Infraestructura básica | Protocolo de configuración dinámica de host (DHCP) | 2 |
Servicios de TI | Infraestructura básica | Herramientas de configuración empresarial | 2 |
Servicios de TI | Infraestructura básica | Uso compartido de archivos | 4 |
Servicios de TI | Infraestructura básica | Almacenamiento de datos | 5 |
Servicios de TI | Infraestructura básica | Acceso telefónico remoto | 1 |
Servicios de TI | Infraestructura básica | Telefonía | 3 |
Servicios de TI | Infraestructura básica | Acceso a red privada virtual (VPN) | 5 |
Vulnerabilidad
- Debilidad de un activo o grupo de activos que pueden ser explotados por una o más amenazas (NTP-ISO/IEC 17799).
- Potencialidad o posibilidad de ocurrencia de una amenaza sobre un activo.
Clase de vulnerabilidad | Vulnerabilidad | Ejemplo |
---|---|---|
Física | Acceso no protegido a las instalaciones informáticas | Puerta de acceso a oficina con mala calidad de cerradura |
Software | Software antivirus obsoleto | No poseemos software licenciado |
Comunicaciones | Protocolos de red sin cifrar | No poseemos ningún cifrado en nuestros protocolos actualmente configurados |
Humana | Procedimientos definidos deficientemente | Preparación insuficiente para la respuesta a incidencias |
Amenaza
- Causa potencial de un incidente no deseado que puede resultar en daño al sistema u organización (NTP-ISO/IEC 17799)
- Eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
- Condición del entorno del sistema de información que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad.
- Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño.
- No todas las amenazas afectan a todos los activos, sino que hay una cierta relación entre el tipo de activo y lo que le podría ocurrir.
Consideren que está metodología está basda en la NTP 17799:2007
- Valoración del Riesgo
Para hacer el cálculo del riesgo se utilizará un semáforo de comparación entre Impacto y Probabilidad.
Proceso de administración de riesgos
Espero haber ayudado en algo. Hasta la próxima oportunidad!
Twittear
FUE DE GRAN AYUDA .. MUCHAS GRACIAS POR COMPARTIR TU CONOCIMIENTO
ResponderEliminarHola Supervisora Hse, gracias por la visita y el aporte de tu comentario!!
EliminarLos mejores deseos!! Hasta cualquier instante!