AGR_METODOLOGA_ANLISIS_RIESGOS

Inventario de Activos
Para realizar el inventario de activos se harn las siguientes consideraciones:
1. Cada activo ser clasificado en una de las siguientes categoras:

Servicios: Procesos de negocio definidos en el alcance, servicios internos

considerados crticos para el funcionamiento de los procesos de negocio. Los
servicios de terceros que se consideren importantes tambin se incluirn.

Informacin: Datos de cualquier tipo y formato, independientemente de cmo

estn organizados y de dnde estn alojados. Es un activo intangible.

Instalaciones: Infraestrucutra, instalaciones como oficinas, despachos o el CPD.

Hardware: Considerado como un dispositivo electrnico ms la configuracin

necesaria para que funcione. No se considera la informacin que tiene, sta
ser otro activo diferente de la categora informacin.

Software: Aplicaciones informticas de todo tipo, como ofimtica, desarrollo,

administracin, gestin, de sistemas, etc. Los datos que puedan manejar se
considerarn en un activo de la categora informacin.

Soportes de informacin: Dispositivos transportables que poseen informacin en

su interior. Tambin se considera soporte el papel con informacin impresa.

Redes de comunicaciones: Red local de la empresa, adems de los dispositivos

de red, como router, switch, hub, firewall, etc., considerados junto con su
configuracin.

Personal: Personas concretas que por el conocimiento que poseen, no por la

experiencia, se consideran imprescindibles en la empresa.

Otros: credibilidad, buena imagen, know-how, etc.

2. Se har una valoracin cualitativa de los activos, respondiendo a criterios objetivos.

Para esta valoracin se consideran los siguientes campos:

Nombre del activo

Cantidad (unidades)

Categora (Descritas en el punto 1)

Propietario del activo: Persona o cargo que administra, autoriza el uso, regula o
gestiona el activo.

Confidencialidad: Una perdida de confidencialidad puede derivar en

incidencias de seguridad cuando un usuario no autorizado accede al activo.
Este usuario puede adquirir un conocimiento que utilice para perjudicar los
intereses de la organizacin.
Se debe valorar el activo en funcin de la importancia que tiene para la
organizacin una prdida de confidencialidad sobre el mismo.

Cdigo:

Versin:

Fecha:

Pgina 1 de 6

AGR_METODOLOGA_ANLISIS_RIESGOS

Valor

Valor

cualitativo

cuantitativo

Muy alta

Criterio

Impacto
econmico

Hacerlo pblico supone una falta total de

> 3000

confianza y la prdida de negocio.

Alta

Hacerlo pblico daara la imagen y se sufrira

1001 - 3000

una prdida de confianza.

Media

Hacerlo pblico supone una prdida leve de

301 - 1000

confianza de la opinin pblica

Baja

Hacerlo pblico supone una prdida mnima

21 - 300

de confianza de la opinin pblica

Muy baja

Se puede hacer pblico

< 20

Integridad: Se refiere a la exactitud y completitud de la informacin. Una

perdida de integridad puede hacernos ver datos que no son correctos o
completos. En relacin a otras categoras de activos, la prdida de
integridad se refiere a un mal funcionamiento, uso o puesta en marcha del
activo.
Se debe valorar el activo en cuanto a la importancia que tiene para la
organizacin su integridad.

Valor

Valor

Criterio

Impacto

cualitativo

cuantitativo

Muy alta

No se puede funcionar sin ello

Alta

Se produce ralentizacin de actividades y mal

econmico
> 3000
1001 - 3000

funcionamiento del servicio

Media

Se producen errores leves de funcionamiento

301 - 1000

del servicio
Baja

Se producen errores despreciables que no

21 - 300

afectaran prcticamente al servicio

Muy baja

No afecta al servicio

< 20

Disponibilidad: La disponibilidad de un activo puede afectar

negativamente al negocio, provocando que ciertos procesos se vean
mermados o cancelados durante el tiempo que dicho activo se
encuentra inoperante. Un activo disponible debe ser accesible en el
momento en el que se necesite.
Hay que considerar el tiempo necesario en sustituir y dejar el activo como
estaba antes de la ocurrencia de algn evento que comprometa su
seguridad. Valorar cuanto tiempo podramos prescindir del activo.

Cdigo:

Versin:

Fecha:

Pgina 2 de 6

AGR_METODOLOGA_ANLISIS_RIESGOS

Valor

Valor

cualitativo

cuantitativo

Muy alta

No poder prescindir del activo ms de 2 horas

> 3000

Alta

No poder prescindir del activo ms de 4 horas

1001 - 3000

Media

No poder prescindir del activo ms de 1 da

301 - 1000

Baja

No poder prescindir del activo ms de 2 das

21 - 300

Muy baja

Poder prescindir del activo 2 das o ms

Criterio

Impacto
econmico

< 20

Importancia (Clasificacin global): Una vez hemos valorado todos los

activos bajo estos criterios, se calcular su valor global para la
organizacin. Este clculo se realiza mediante la media aritmtica de los
valores de confidencialidad, integridad y disponibilidad.

Valor cualitativo

Valor cuantitativo

Muy alta

Entre 4.5 (no incluido) y 5

Alta

Entre 3.5 (no incluido) y 4.5

Media

Entre 2.5 (no incluido) y 3.5

Baja

Entre 1.5 (no incluido) y 2.5

Muy baja

Entre 1 y 1.5

Sin valor

Cdigo:

Versin:

Fecha:

Pgina 3 de 6

AGR_METODOLOGA_ANLISIS_RIESGOS
Anlisis de Riesgos
Una vez terminada la valoracin de los activos, se proceder a hacer un estudio para
examinar las amenazas, vulnerabilidades, impacto y riesgo, para cada activo. El mtodo
de trabajo ser el siguiente:
1. Para cada activo se determinan las amenazas que pueden afectarle. Las
amenazas son eventos que pueden desencadenar un incidente en la
organizacin, produciendo daos materiales o prdidas inmateriales en sus
activos. La consecuencia de una amenaza, si se materializa, es un incidente que
modifica el estado de la seguridad de los activos afectados.
Se van a definir cuatro tipos de amenazas:

De origen naturales.

De origen industrial.

Intencionadas.

No intencionadas.

Se seleccionarn las amenazas que realmente afectan a cada activo.

2. Asociar a cada amenaza la Vulnerabilidad que puede explotarla: debilidad que
tiene el activo para que la amenaza pueda materializarse.
3. Probabilidad de ocurrencia de la amenaza: probabilidad de que una amenaza se
materialice explotando su vulnerabilidad correspondiente. Se valorar segn la
propia experiencia de la persona que realiza la valoracin.
Se mide en una escala segn los siguientes valores.

Valor cualitativo

Valor cuantitativo

Criterio

Muy alta

Ocurre a diario o varias veces al da

Alta

Ocurre varias veces a la semana

Media

Ocurre una vez al mes

Baja

Ocurre varias veces al ao

Muy baja

Ocurre como mucho una vez al ao

4. Impacto en caso de ocurrencia: Determinar la degradacin que producira en la

organizacin la materializacin de la amenaza. El impacto en un activo es la
consecuencia cuando ya se ha materializado la amenaza.
Se mide la diferencia entre el estado de seguridad de un activo antes y despus
de materializarse dicha amenaza.

Cdigo:

Versin:

Fecha:

Pgina 4 de 6

AGR_METODOLOGA_ANLISIS_RIESGOS
Valor

Valor

cualitativo

cuantitativo

Muy alto

Criterio

Impacto
econmico

Dao irrecuperable en alguno de los activos de

> 3000

la organizacin, que afecta a la eficacia o

seguridad de la organizacin.
Alto

Dao recuperable a largo plazo (meses) en

1001 - 3000

alguno de los activos de la organizacin, que

puede causar a su vez un posible impacto
significativo en otras organizaciones.
Medio

Dao recuperable a medio plazo (das) en

301 - 1000

alguno de los activos de la organizacin, que

penaliza la eficacia de las actividades propias
de la organizacin.
Bajo

Dao recuperable a corto plazo (horas) en

21 - 300

alguno de los activos de la organizacin, que

causa interrupcin eventual limitada de las
actividades de la organizacin.
Muy bajo

Cause un dao irrelevante a efectos prcticos

< 20

5. Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en

un conjunto de activos o en toda la organizacin.
La metodologa empleada en el anlisis de riesgos debe perseguir un objetivo
claro: obtener un valor que nos indique el riesgo asociado a los activos y que nos
permita tomar decisiones priorizadas. Estas decisiones tienen que tomarse por
comparacin con un umbral de riesgo fijado de antemano.
El clculo del riesgo, de una amenaza en concreto, se realiza mediante la media
aritmtica de los valores de la importancia, la probabilidad y el impacto.

Valor cualitativo

Valor cuantitativo

Muy alta

Entre 4.5 (no incluido) y 5

Alta

Entre 3.5 (no incluido) y 4.5

Media

Entre 2.5 (no incluido) y 3.5

Baja

Entre 1.5 (no incluido) y 2.5

Muy baja

Entre 1 y 1.5

Sin valor

Cdigo:

Versin:

Fecha:

Pgina 5 de 6

AGR_METODOLOGA_ANLISIS_RIESGOS
Gestin de Riesgos
Una vez realizado el anlisis de riesgos, el comit de seguridad debe aprobar los
resultados obtenidos.
A continuacin, el comit debe aprobar los niveles de riesgo asumibles por la
organizacin. Para aquellos activos que no se asuman riesgos asociados, se debe
establecer un plan de tratamiento de riesgos que incluya la definicin de controles a
implementar, plazos, responsabilidades y descripcin de las actividades a realizar.
El plan de tratamiento de riesgos contendr, adems de la informacin descrita
anteriormente, el seguimiento de las actividades de manera que su visualizacin permita
el estado actual de cada uno de los controles.
Aparte de la aplicacin de controles, existe la posibilidad de transferir los riesgos o
asumirlos:

Los riesgos se pueden transferir a travs de acuerdos con compaas de

seguros o proveedores.

En cuanto la posibilidad de asumir riesgos, esta accin debe ser realizada con
el consentimiento escrito de direccin.

Cdigo:

Versin:

Fecha:

Pgina 6 de 6