Modelo unificado para identificacin y valoracin de los riesgos

de los activos de informacin en una organizacin

[Escriba el subttulo del documento]

Fernando Caviedes Sanabria, Bertulfo Antonio Prado Urrego, Ingrid Luca

Muoz Perin (Msc)

 Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin

Modelo
unificado para
identificacin y
valoracin de
los riesgos de
los activos de
informacin en
una
organizacin
RESUMEN
En el pas hay sectores, como el financiero y el
asegurador, donde existen reglamentaciones
que obligan a las empresas a establecer
esquemas para mantener la seguridad de la
informacin;
desafortunadamente
esta
situacin no es regla sino excepcin y se
observa que la mayora de las empresas no
tienen claridad sobre el tema y normalmente
confunden seguridad de la informacin con
seguridad
informtica,
como
ha
sido
evidenciado por la Asociacin Colombiana de
Ingenieros de Sistemas (ACIS) en varios de los
estudios realizados tanto a nivel nacional como
latinoamericano.
En los ltimos aos la sensacin de
inseguridad se ha incrementado y a hoy se han
hecho comunes los ataques de comunidades
de
hackers a empresas y estamentos
gubernamentales dentro y fuera del pas, que
muestran que a nivel global existen altos
grados de vulnerabilidad en la proteccin de la
informacin.

Pgina 2

Tambin existen entidades pblicas y privadas

que, desde aos atrs, han hecho estudios
para el manejo de la informacin y los riesgos a
los que est expuesta; como resultado de los
estudios han propuestos marcos de trabajo
tales como COBIT, RiskIT, ISO27000, ISM3,
ITIL, MoR, MagerIT, entre otras; que muestran
qu se debe hacer para asegurar los activos
de informacin, pero no indican cmo hacerlo y
que, adems, generan cierta confusin porque
no se tienen o se desconocen, por parte de las
empresas, los elementos de juicio que permita
determinar cul o cules aplicar o cmo
articular estas diferentes propuestas a las
condiciones de cada una.
Como respuesta a la problemtica planteada y
la diversidad de marcos de referencia
existentes, se ha fijado como objetivo
desarrollar un modelo que unifique las mejores
prcticas de los frameworks ms conocidos,
para ser integrado en los sistemas de gestin
de seguridad de la informacin de las
organizaciones. Debido a lo extenso del tema,
para efectos de este trabajo se ha delimitado el
alcance de dicho objetivo a la identificacin y
valoracin de los riesgos de los activos de
informacin.
PALABRAS CLAVES
Activos de Informacin, Evaluacin de riesgos,
Gestin de Riesgos, SGSI, ISO27000, ITIL,
COBIT, MagerIT, MoR, RiskIT, O-ISM3,
Amenazas, Riesgos, Salvaguarda.
ABSTRACT
In Colombia there are sectors such as the
financial and the insurer, where there are
regulations that require enterprises to establish
schemes to maintain the security of the
information; unfortunately this is not a rule but
exception and is observed that the majority of
the companies have no clarity on the subject
and usually confused with computer security

 Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin

the information security, as it has been

evidenced by the Colombian Association of
Engineers of Systems (ACIS - by its acronym in
Spanish) in several of the studies both
nationally and Latin American area.
In recent years the feeling of insecurity has
increased and today have become common
hacker attacks communities and government
sites to companies inside and abroad, showing
that overall there are high levels of vulnerability
in protecting the information.
There are also public and private entities, since
years ago, made studies for the management of
information and the risks to which it is exposed;
as a result of the studies have proposed
frameworks such as COBIT, RiskIT, ISO27000,
ISM3, ITIL, MoR, MagerIT, among others; show
what should be done to ensure information
assets, but do not indicate how to do it and
which,
furthermore,
generate
confusion
because they don't have or are unknown, by
enterprises, the elements of judgment to
determine which ones apply or how to articulate
these different proposals to the conditions of
each.
In response to the issues raised and the
diversity of existing frameworks, has set a goal
to develop a model that unifies the best
practices of the most popular frameworks to be
integrated
into
management
systems
information security of organizations . Due to
the extensiveness of the topic, for purposes of
this work has delimited the scope of this
objective the identification and and valuation of
the risks of information assets.
KEYWORDS
Information assets, Risk assessment, Risk
management, ISMS, ISO27000, ITIL, COBIT,
MagerIT, MoR, RiskIT, O-ISM3, Threats, Risks,
Safeguard.

1. INTRODUCCIN

Tomando como marco de referencia el entorno

pas, donde los sectores regularizados y
vigilados por entidades de control con
herramientas suficientes para influir sobre la
voluntad de las empresas para acoger las
reglamentaciones emitidas alrededor de la
1
seguridad de la informacin son pocos ;
podemos encontrarnos que al momento de
hablar de seguridad de la informacin, en la
mayora de las empresas, se confunde con
seguridad informtica y, an ms, se termina
centrado en controles sin tener idea clara de
qu debe protegerse, por qu debe protegerse
o cmo debe protegerse.
Por otro lado eventos de amplia difusin
pblica de incidentes como la divulgacin de
los correos diplomticos de las embajadas
americanas (difundidos por la red Wikileaks), la
sustraccin de informacin de ms 75.000
usuarios de los servicios de juegos en lnea de
la multinacional SONY y el ataque a los sitios
web estatales en Colombia (por parte del grupo
2
Anonymus a raz de la promocin de la
llamada ley Lleras) o a sitios del gobierno de
los Estados Unidos por el anuncio de las leyes
3
4
SOPA y PIPA ; son solo
una pequea

En el aspecto de emisin de reglamentacin

tendiente a mejorar la seguridad de la informacin
sobresalen los sectores financiero y asegurador.
2
Seudnimo utilizado mundialmente por diferentes
grupos e individuos que, ponindose o no de
acuerdo con otros, realizan acciones o publicaciones
(individuales o concertadas) en protesta a favor de la
libertad de expresin, de la independencia de
Internet y en contra de diversas organizaciones,
entre ellas, sociedades de derechos de autor.
3
La Ley SOPA (Stop Online Piracy Act) o Ley H.R.
3261; es un proyecto de ley presentado en la
Cmara de Representantes de los Estados Unidos el
26 de octubre de 2011 por el Representante Lamar
S. Smith que tiene como finalidad expandir las
capacidades de la ley estadounidense para combatir
el trfico de contenidos con derechos de autor y
bienes falsificados a travs de Internet.
4
PIPA (acrnimo en ingls de Preventing Real
Online Threats to Economic Creativity and Theft of
Intellectual Property Act o PROTECT IP Act) es un a
propuesta de Ley presentada en la Cmara del
Senado de Estados Unidos, le dara al gobierno el
poder de apagar de internet websites y censurar
motores de bsqueda despus que una reclamacin

Pgina 3

 Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin

muestra del incremento vertiginoso de las

amenazas a la seguridad de la informacin.
Amenazas que han llevado a las empresas a
preocuparse por los niveles de proteccin de
sus activos de informacin y a preguntarse si
stos estn correctamente identificados y
valorados.
Si bien, existen propuestas metodolgicas y
marcos de referencia como COBIT, RiskIT,
ITIL, ISO27000, ISM3 y otras; no es fcil para
las organizaciones establecer de manera
prctica la forma de acometer la identificacin
de sus activos de informacin y establecer su
valor intrnseco dentro de sus procesos crticos,
para realizar un correcto y efectivo anlisis de
riesgo de tales activos dentro de un sistema de
gestin de seguridad de la informacin (SGSI).
Con el desarrollo del trabajo sugerido en este
documento se har una propuesta que,
tomando los elementos que se ofrecen en los
marcos de referencia y metodologas
existentes, defina un modelo unificado que
permita a las empresas resolver los
interrogantes esbozados.
2. OBJETIVO GENERAL
Desarrollar un modelo unificado para la
identificacin y valoracin de los riesgos de los
activos de informacin dentro de un sistema de
gestin de seguridad de la informacin para
cualquier tipo de empresa.
3. MODELO PROPUESTO
Este modelo en su construccin refleja las
mejores prcticas que se proponen a travs de
los marcos de referencia de mayor aplicacin a
nivel global como la familia ISO 27000, ITIL,
COBIT, MagerIT, MoR y la Norma Tcnica
Colombiana NTC 5254, articuladas de una
manera sencilla y prctica, de forma que
permita a una empresa realizar el proceso de

identificacin y valoracin de los riesgos a los

que estn expuestos los activos ms crticos
que soportan los procesos que apalancan el
xito del negocio.
El ciclo del modelo propuesto est compuesto
por tres grandes fases: Evaluacin alineacin
organizacional, Evaluacin de activos y
Evaluacin de riesgos articulados como se
5
muestra en la figura 1 .

Figura 1: Ciclo Modelo propuesto

Evaluacin
alineacin
organizacional:
corresponde a la revisin y priorizacin de los
procesos productivos que van a ser objeto de
aseguramiento y requieren que sus activos y
riesgos asociados sean identificados y
valorados.
En esta fase se identifica el nivel de
participacin que sobre el logro de los objetivos
de negocio tenga cada uno de los procesos de
la cadena de valor de la empresa, aplicando
para su valoracin el criterio que mejor refleje
esta participacin sobre el principal objetivo de
la organizacin.

a una infraccin de los derechos de autor sea hecha

por el propietario del contenido actual.

Pgina 4

La fase de Gestin de Riesgo no est considerada

en el presente documento y se propone como futuro
proyecto.

 Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin

La estimacin de la importancia de cada

proceso dentro de la cadena de valor puede
hacerse de varias maneras:
Por el conocimiento del negocio
Por sentido comn
Por participacin sobre los ingresos de la
empresa
Por el nmero de activos involucrados

activos propuesta por el modelo, donde queda

consignada la informacin necesaria para las
etapas de valoracin de los mismos y para la
fase de identificacin y valoracin de los
riesgos a que cada uno de ellos est expuesto.
La informacin a diligenciar para cada activo se
muestra en la tabla 1.
Tabla 1: Atributos activos de informacin
Atributo
ID Activo
Nombre
activo
Propietario

Descripcin
Nmero de identificacin nico con que se identificar el activo dentro del
inventario.
de Nombre con que se reconoce el activo dentro de la organizacin.

Por la criticidad dentro de la cadena

productiva
Administrador

El resultado es un vector de procesos, como el

que se muestra en la figura 2, con la
participacin porcentual estimada para cada
uno de ellos en el logro de los principales
objetivos, que en la siguiente fase del ciclo
ayudar a priorizar los activos que quedan
incluidos dentro del alcance del anlisis de
riesgo.

Figura 2: Vector de procesos priorizado

Tipo activo

Es la persona o proceso que tiene la responsabilidad de definir quines tienen

acceso y qu pueden hacer con la informacin y d determinar que la misma
se salvaguarde ante accesos no autorizados, modificacin, prdida de la
confidencialidad o destruccin deliberada y definir que se hace con la
informacin una vez ya no sea requerida y los tiempos de retencin asociados
a la misma.
Es la persona o rea encargada de administrar y hacer efectivos los controles
de seguridad que el propietario de la informacin ha definido, con base en los
controles de seguridad disponibles.
Entre los controles de seguridad se tiene:
Toma de copias de seguridad.
Asignar privilegios de:
o Acceso.
o Modificacin.
o Borrado
Para cada activo se identifica el grupo al que pertenece segn se muestra en
la tabla 2.

Cada uno de los activos se clasifica dentro de

uno de los seis grupos de activos propuestos
(Informacin, Aplicaciones, Infraestructura,
Personas, Servicios y Capital financiero) para
facilitar su tratamiento en la fase de evaluacin
de riesgos, segn lo definido en la tabla 2.
Tabla 2: Grupos Activos de informacin

Evaluacin de activos: presenta las

actividades y mecanismos que permitan a la
organizacin identificar los activos que
intervienen en sus procesos productivos y
priorizarlos conforme a los criterios que dan
valor a la informacin que intrnsecamente
representan.
Esta fase est compuesta por dos etapas:
Identificacin de activos y valoracin de
activos.
Identificacin de Activos:
Se realiza una entrevista con el dueo o el
funcionario que mayor conocimiento tenga de
la operacin de cada proceso incluido en el
alcance del anlisis de riesgos, diligenciando
para cada uno de ellos la tabla de inventario de

Grupo
Informacin

Descripcin
Toda fuente de informacin fsica o electrnica (Bases de datos y archivos de
datos, contratos y acuerdos, documentacin del sistema, informacin sobre
investigacin, manuales de usuario, material de formacin, procedimientos
operativos o de soporte, planes para la continuidad del negocio, acuerdos de
recuperacin, registros de auditora e informacin archivada.
Aplicaciones Todos los componentes de software de los sistemas de informacin, software
del sistema, herramientas de desarrollo y utilidades.
Infraestructura Todas las instalaciones y dispositivos fsicos requeridos para la ejecucin de
un proceso (instalaciones, equipos de computacin, equipos de
comunicaciones, medios removibles y otros equipos).
Personas
Personas naturales con sus calificaciones, habilidades y experiencia.
Servicios
Todo servicio propio o suministrado por terceros (agua, energa elctrica,
telecomunicaciones, aire acondicionado, sistemas de extincin de incendios,
monitoreo, mantenimiento de hardware, software o infraestructura).
Capital
Recursos econmicos directos requeridos para la realizacin de un proceso.
financiero

Una vez levantado el inventario de los activos

involucrados en cada uno de los procesos
dentro del alcance del anlisis de riesgo, se
realiza la etapa de valoracin de estos activos.
Valoracin de Activos:

Pgina 5

 Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin

Fase donde para cada activo se valora el

impacto, en una escala de uno a cinco segn
los posibles escenarios considerados en el
modelo, que puede tener sobre el resultado u
objetivo a alcanzar por parte del negocio si el
activo es vulnerado en cualquiera de los cuatro
atributos considerados por el modelo
(Confidencialidad, Integridad, Disponibilidad y
Confiabilidad) como se muestra en la tabla 3.
La etapa final de esta fase es la estimacin del
valor de cada activo, aplicando una frmula de
valoracin que toma, para los activos de cada
proceso, la sumatoria de los impactos
estimados para cada atributo, multiplicado por
la participacin porcentual de cada proceso
estimado en la fase anterior como se muestra
en la frmula 1.
Frmula 1: Valoracin de activos
ValorActiv o i 1 (C I D R) * PP
n

C
I
D
R
PP

:
:
:
:
:

Confidencialidad
Integridad
Disponibilidad
Confiabilidad (reliability)
Peso Proceso

Tabla 3: Valoracin atributos activos de informacin

ATRIBUTO
C
O
N
F
I
D
E
N
C
I
A
L
I
D
A
D

La informacin es de
carcter PUBLICO y no
se tiene ningn
impacto sobre el
resultado del proceso
en caso de ser
accedido por personas
no autorizadas

La informacin a pesar
de ser de carcter
PUBLICO ya ha sido
clasificada y nutrida
por la organizacin y
de ser accedida por
personas no
autorizadas podra
afectar el resultado o
poner en riesgo la
empresa

VALORACIN
3

La informacin es de
carcter RESTRINGIDO
pero de ser accedida
por personas no
autorizadas no
afectara en mayor
grado el resultado o
pondra en riesgo la
empresa

La informacin es de
carcter RESTRINGIDO
y de ser accedida por
personas no
autorizadas podra
afectar el resultado del
proceso o poner en
riesgo la empresa

La informacin es de
carcter SECRETO y en
caso de ser accedida
por personas no
autorizadas el impacto
final sobre el proceso o
resultado de la
empresa sera muy
grave

VALORACIN
ATRIBUTO

I
N
T
E
G
R
I
D
A
D

La informacin no es
crtica, y no tiene
repercusin en el
proceso. Si presentara
errores la prdida que
origina es muy
pequea y su
reconstruccin
consiste en la
repeticin de un
proceso sencillo.

La informacin no es
crtica pero es bsica
para algunas
decisiones menores
del proceso. La
ocurrencia de un
fraude o errores sobre
la misma podra
ocasionar prdidas.

La informacin es
crtica y sobre ella se
basan algunas
decisiones del proceso.
La ocurrencia de un
fraude o errores sobre
la misma ocasionar
prdidas.

La informacin es
crtica y es aquella en
la cual se basan
decisiones importantes
del proceso. La
ocurrencia de un
fraude o errores sobre
la misma ocasionar
prdidas importantes
o severas, por lo cual,
la informacin necesita
un nivel razonable de
proteccin contra
error y fraude.

La informacin es base
para la toma de
decisiones estratgicas
o es fundamental para
la proteccin de los
individuos de la
organizacin. La
ocurrencia de un
fraude o errores sobre
la misma ocasionar
prdidas graves o
catastrficas, por lo
cual, la informacin
deber estar libre de
error

VALORACIN
ATRIBUTO
D
I
S
P
O
N
I
B
I
L
I
D
A
D
ATRIBUTO
C
O
N
F
I
A
B
I
L
I
D
A
D

El tiempo para
recuperar la
informacin no es
crtico, puede esperar
una semana o ms sin
tener consecuencia
sobre el resultado del
proceso.

Si el servicio del activo

se interrumpe no se
afecta la operacin ni
el resultado del
proceso.

El tiempo mximo para

recuperar la
informacin y volver a
iniciar el
procesamiento debe
ser menor a una
semana.

El tiempo mximo para

recuperar la
informacin y volver a
iniciar el
procesamiento debe
ser menor a dos das.

El tiempo mximo para

recuperar la
informacin y volver a
iniciar el
procesamiento es
menor a un da.

El tiempo mximo para

recuperar la
informacin y volver a
iniciar el
procesamiento es
menor a 4 horas.

Si el servicio del activo

se interrumpe, se
puede continuar
operando utilizando el
servicio de otro activo
ya existente.

VALORACIN
3

Si el servicio del activo

se interrumpe se
afecta la operacin
pero el resultado se
obtiene, aunque se
requiere mayor
duracin del proceso.

Si el servicio del activo

se interrumpe, no se
puede continuar
operando y se requiere
reemplazar el activo
para reiniciar la
operacin, generando
prdidas al negocio.

El servicio ofrecido por

el activo no puede
interrumpirse, de
hacerlo tendra
consecuencias
catastrfica para el
negocio, debe
garantizarse su
operacin
ininterrumpida.

El resultado de la fase es el inventario de

activos valorados.
Para la siguiente fase se sugiere continuar con
un porcentaje de los activos con mayor valor.
Evaluacin de riesgos: una vez obtenida la
relacin de activos y definido su valor dentro
del proceso productivo, se presentan las
herramientas que permiten identificar el grado
de exposicin y el impacto que puede generar
en la organizacin la violacin a la seguridad
de estos activos crticos.
Esta
ltima
fase
tiene
tres
etapas:
Identificacin de riesgos, Identificacin de
controles y Valoracin de riesgos.
Identificacin de riesgos:
En la primera etapa, basados en una propuesta
ampliada de MagerIT, para cada activo, se
Pgina 6

 Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin

identifican las amenazas a que est expuesto

segn el grupo de activos (Informacin,
Aplicaciones,
Infraestructura,
Personas,
Servicios y Capital financiero) al que
pertenezca, dando prioridad a aquellas que
pueden afectar el atributo con mayor peso
(Confidencialidad, Integridad, Disponibilidad o
Confiabilidad) segn la valoracin realizada en
la fase anterior.
Identificacin de controles:
La segunda etapa de esta tercera fase asume
la existencia de un proceso en la organizacin
para la definicin, diseo y seguimiento de
controles dentro del tratamiento de los riesgos,
que permita evaluar las salvaguardas o
controles ya implementados y que puedan
mitigar el riesgo o impacto de cada una de las
amenazas identificadas en la primera etapa de
esta fase.
Si existen salvaguardas se valora la eficiencia
de estos controles, con una escala cualitativa
(Muy adecuado, Adecuado, Moderado, Dbil y
Muy dbil), que posteriormente el modelo
cuantifica para dar sendos valores de eficiencia
entre el 90% y el 10% y de la marginalidad
correspondiente entre 0.1 y 0.9. Para la
valoracin de eficiencia de las salvaguardas se
consideran la fortaleza del control establecido,
el grado de automatizacin del mismo y si se
tienen o no registros o certeza de la eficiencia
de este control, segn se muestra en la tabla 4.
Tabla 4: Evaluacin de Salvaguardas
Cualificacin
Muy Adecuado
Adecuado
Moderado
Dbil
Muy dbil

Consideracin
El control o salvaguarda establecido tiene un diseo fuerte, es
automtico y se ha comprobado su efectividad
El control o salvaguarda establecido tiene un diseo fuerte, no es
automtico, pero se ha comprobado su efectividad
El control o salvaguarda establecido tiene un diseo fuerte, no es
automtico o no se ha comprobado su efectividad
El control o salvaguarda establecido no tiene un diseo fuerte, no
es automtico, pero se ha comprobado su efectividad
El control o salvaguarda establecido no tiene un diseo fuerte, no
es automtico y no se ha comprobado su efectividad

Eficiencia

Marginalidad

90%

0.1

70%

0.3

50%

0.5

30%

0.7

10%

0.9

Valoracin de riesgos:
En la tercera etapa de esta fase se hace la
valoracin de riesgos considerando dos
variables: la probabilidad de que la amenaza
identificada se haga realidad y el impacto o

nivel de degradacin que esto resultara sobre

el activo evaluado.
Para estimar la probabilidad de ocurrencia el
modelo propone basarse en el conocimiento
previo y conforme a la frecuencia histrica
valorar cualitativamente esta probabilidad
(Nada frecuente, Poco frecuente, Normal,
Frecuente y Muy frecuente). El modelo asigna
para cada nivel cualitativo un valor cuantitativo
entre 0.2 y 1, como se muestra en la tabla5.
Tabla 5: Estimacin Ocurrencia
Valor

Frecuencia

Ocurrencia

0.2

Nada frecuente

No ha sucedido

0.4

Poco frecuente

Ha sucedido una vez cada 10 aos

0.6

Normal

Ha sucedido una vez al ao

0.8

Frecuente

Ha sucedido mensualmente

Muy frecuente

Sucede diariamente

Para estimar el nivel de degradacin que

generara sobre el activo la ocurrencia de una
amenaza, se plantean escenarios que valoran
cualitativamente
(Insignificante,
Menor,
Moderado, Mayor y Catastrfico) el dao y la
consecuencia sobre el proceso que signifique
el evento sobre el activo. El modelo igualmente
asigna un valor numrico a cada uno de los
niveles de esta escala entre 0.2 y 1, segn la
tabla 6.
Tabla 6: Estimacin Impacto
Valor

Degradacin

0.2

Insignificante

Ocurrencia

0.4

Menor

El activo sufre daos, pero puede continuar operando

0.6

Moderado

El activo sufre daos y su operacin queda restringida

0.8

Mayor

Catastrfico

El activo no sufre daos que le impidan continuar operando

El activo sufre daos que impiden su operacin pero que

pueden recuperarse dentro del tiempo tolerable para la
operacin
El activo sufre daos irreparables y la operacin se ve
afectada ms all de lo tolerable

Una vez estimados los anteriores valores se

procede a calcular tanto el riesgo inherente,
que es igual al producto de la probabilidad o
frecuencia de ocurrencia de la amenaza por el
impacto o degradacin del activo y el riesgo
marginal, que corresponde al producto del
riesgo inherente por el valor de marginalidad
calculado para las salvaguardas estimadas en

Pgina 7

 Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin

el paso anterior como se indica en la frmula 2

y frmula 3.
Frmula 2: Riesgo inherente

RiesgoInherente=Frecuencia*Degradacin

Frmula 3: Riesgo residual

RiesgoMarginal=RiesgoInherente*Marginalidad

El resultado final de esta fase y por lo tanto del

ciclo es una tabla que servir de gua para
continuar con el proceso de Gestin de riesgos,
donde se deber establecer la respuesta a
cada uno de los riesgos identificados y se
deber hacer seguimiento a la eficiencia de
estas respuestas y posteriormente volver a
repetir el ciclo de alineamiento, evaluacin de
activos y evaluacin de riesgos propuestos en
este modelo.
4. CONCLUSIONES Y TRABAJO
FUTURO
El modelo planteado por este trabajo cumple
con el objetivo de entregar una herramienta en
donde confluyen las propuestas de los
principales marcos de referencia en lo que
tiene que ver con la identificacin y valoracin
de activos y con la identificacin y valoracin
de sus riesgos; permitiendo hacerlo de una
manera prctica, sencilla, que es fcilmente
entendida y que al ser aplicada por una
entidad, estar acogiendo las prcticas
recomendadas y comnmente auditadas por lo
entes de control y, lo que es an ms
importante, tendr certeza de estar protegiendo
los activos ms crticos de las amenazas que
mayor impacto puedan causar sobre el logro de
los objetivos de la misma.
La construccin del Modelo unificado para
identificacin y valoracin de los riesgos de los
activos de informacin en una organizacin
deja identificado espacios para el desarrollo de
al menos dos futuros trabajos. El primero de
ellos es la definicin de un modelo de gestin
de riesgos para la fase de implementacin de
respuestas y evaluacin de la eficacia de los

Pgina 8

controles que se establezcan como resultado

del proceso de anlisis de los riesgos que se
identifican con la aplicacin del modelo; con
este quedara concluido el ciclo completo de la
gestin de riesgos, complementando el
presente trabajo.
El segundo trabajo propuesto consiste en la
automatizacin del modelo, partiendo de las
definiciones aqu establecidas y ejecutando
todo el ciclo de desarrollo de aplicaciones.
Crear una herramienta automatizada que
pueda ser utilizada en cualquier tipo de
organizacin, basadas en las definiciones,
procesos y mtodos planteados en este
trabajo, dado que uno de los inconvenientes de
la propuesta es lo dispendioso del manejo de
un gran nmero de activos, multiplicado por la
cantidad de amenazas que puede tener cada
uno de ellos y su manipulacin para la
priorizacin y ordenamiento conforme los
valores que se van generando a lo largo del
proceso.
Finalmente podemos decir que la multiplicidad
de marcos de referencia si bien difieren en sus
propuestas metodolgicas, en el fondo
mantienen un marco comn para este tipo de
procesos y la misin de trabajos como el
presente es llegar a la simplicidad de este
trasfondo y plasmarlo en herramientas que
permitan a las organizaciones aplicarlas sin
necesidad de sumergirse en las complejidades
de las normas y frameworks que las rigen,
permitindoles lograr los objetivos que
finalmente requiere la organizacin y con esto
vencer uno de los principales obstculos para
la adopcin de la seguridad de la informacin
identificado a lo largo de los aos en las
empresas Colombianas y Latinoamericanas,
como lo han mostrado los resultados de las
encuestas de seguridad realizadas por la
Asociacin Colombiana de Ingenieros de
Sistemas (ACIS).
REFERENCIAS BIBLIOGRFICAS

 Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]
[11]

[12]

Axentian, Consultora Axentian, marzo

2011.
[En
lnea].
Available:
http://www.axentian.com/index.php?option=c
om_docman&task=doc_download&gid=55&It
emid=59&lang=es.. [ltimo acceso: 06
diciembre 2011].
ACIS, Memorias VII Jornada Nacional de
Seguridad Informtica, 14 diciembre 2007.
[Online].
Available:
http://www.acis.org.co/fileadmin/Base_de_Co
nocimiento/VII_JornadaSeguridad/VIIENSI.p
df. [Acesso em 12 diciembre 2011].
ACIS, Memorias IX Jornada Nacional de
Seguridad Informtica, 7 diciembre 2009.
[Online].
Available:
http://www.acis.org.co/fileadmin/Base_de_Co
nocimiento/IX_JornadaSeguridad/I-ELSI09JJCM-Uniandes.pdf.
[Acesso
em
12
diciembre 2011].
Gartner, The 2007 Gartner Scenario: An
Annual Report on the Current State and
Future Directions of the IT Industry, 15
septiembre
2007.
[Online].
Available:
http://my.gartner.com/portal/server.pt?open=
512&objID=249&&PageID=864059&mode=2
&in_hi_userid=2&cached=true&resId=522806
&ref=AnalystProfile. [Acesso em 17 mayo
2011].
F. Caviedes Sanabria e B. A. Prado Urrego,
Modelo unificado para identificacin y
valoracin de los riesgos de los activos de
informacin en una organizacin, 2012.
ISO/IEC, Information technology - Security
techniques
Information
security
management systems - Requirements
(ISO/IEC 27001), Geneva: ISO/IEC, 2005.
ISO27000.es, MARZO 2012. [Online].
Available:
http://www.iso27000.es/iso27000.html#sectio
n3e.
IT Governance Institute (ITGI) y la Oficina
Gubernamental
de
Comercio
(OGC),
Alineando COBIT 4.1, ITIL V3 e ISO/IEC
27002 en beneficio de la empresa, IT
GOVERNANCE INSTITUTE, 2008.
ISO/IEC, Information technology - Security
techniques - Code of practice for information
security management (ISO/IEC 17799:2005),
segunda ed., Geneva: ISO, 2005.
IT Governance Institute, COBIT 4.1, Rolling
Meadows: ISACA, 2007.
IT Governance Institue, Enterprise Value:
Governance of IT Investments, The Val IT
Framework, Rolling Meadows.
ITSMF-NL, Foundations of IT Service
Management Based on ITIL V3, Van Haren
Publishing, 2007.

[13]

[14]

[15]

[16]
[17]
[18]

[19]

[20]

[21]

[22]

The Open Group, Open Information Security

Management Maturity Model, Berkshire: The
Open group, 2011.
INTERNATIONAL ORGANIZATION FOR
STANDARDIZATION.,
Information
Technology,
Security
Techniques.
Information Security Risk Management.
ISO/IEC
FDIS
27005:2008
(E),
INTERNATIONAL ORGANIZATION FOR
STANDARDIZATION., GENEVA, 2008.
Instituto Colombiano de Normas Tcnicas y
Certificacin (ICONTEC), Norma Tcnica
Colombiana NTC 5254 Gestin de Riesgo,
ICONTEC, Bogot, 2004.
ISACA, The Risk IT Framework, Rolling
Meadows, 2009.
itSMF, Frameworks for IT management,
Wilco: Van Haren Publishing, 2006.
G.
Williams.
[Online].
Available:
http://www.morofficialsite.com/AboutM_o_R/WhatIsM_o_R.a
spx. [Acesso em 1 Abril 2012].
G. Williams, 2011. [Online]. Available:
http://www.best-managementpractice.com/gempdf/MoR_1000Words_Whit
e_Paper_Dec11.pdf. [Acesso em 1 Abril
2012].
Ministerio de Administraciones pblicas, 20
Junio
2006.
[Online].
Available:
http://administracionelectronica.gob.es/?_nfp
b=true&_pageLabel=P800292251293651550
991&langPae=es&detalleLista=PAE_127652
9683497133. [Acesso em 06 Febrero 2012].
Ministerio de Administraciones pblicas,
Junio
2006.
[Online].
Available:
http://administracionelectronica.gob.es/?_nfp
b=true&_pageLabel=P800292251293651550
991&langPae=es&detalleLista=PAE_127652
9683497133. [Acesso em 06 Febrero 2012].
Information Technology Industry Council
(ITI), RECOMMENDATION FOR CREATING
A COMPREHENSIVE FRAMEWORK FOR
RISK MANAGEMENT AND COMPLIANCE
IN THE FINANCIAL SERVICES AND
INSURANCE INDUSTRIES, International
comitee
for
Information
Technology
Standards, Gaithersburg, MD 20899-8930,
2008.

Pgina 9

 Modelo unificado para identificacin y valoracin de los riesgos de los activos de informacin en una
organizacin

Pgina 10