Instructivo Análisis de Riesgos

INSTITUTO POLITÉCNICO NACIONAL
Instructivo para el llenado de las Matrices de infraestructuras críticas y activos clave
Alcance
Documento en el que se establece las Matrices de infraestructuras críticas y activos clave
Activo Indicar Id del Proceso, Id Activo y Nombre del Activo, tal como se definió en el
Inventario de Activos.
Activo
Activo de
Id. Proceso Id. Activo
información
Valoración Activo de información: Es toda aquella información y medio que la contiene,

que por su importancia y valor que representa para la organización deben ser
protegidos para su confidencialidad, disponibilidad e integridad acorde al valor
que se le otorgue.
Valoración
La valoración a la criticidad del activo de información será marcada en base a los

tres principios de la seguridad de la información que pone en riesgo al activo de
información, los cuales son: (C) confidencialidad, (I) Integridad, (D)
Disponibilidad. Donde nos apoyaremos de la ponderación señalada en la tabla
Valoración de activos, para poder identificar los activos de mayor criticidad.
Tabla Valoración de activos

La siguiente tabla muestra la escala de valores que se debe considerar para
hacer la valoración de los Activos e identificar aquellos que resultan críticos para
la Organización.
Valor Descripción
1 Poca o nula pérdida o daño.
2 Una pérdida o daño menor.
3 Una pérdida o daño medio, y los procesos de la Organización

pueden verse afectados negativamente, sin llegar a fallar o
causar su interrupción.
4 Una pérdida o daño serio o considerable, y los procesos de la

Organización pueden fallar o interrumpirse.
5 Altas pérdidas monetarias, o un daño crítico a un individuo o a

la sociedad, reputación, privacidad y/o competitividad de la
Organización. Los procesos de negocio de la Organización

fallarán.
Valoración
C I D Total Valor 1 Valor 2
Para cada Activo identificado se debe efectuar su Valoración para establecer de

manera cuantitativa su criticidad dentro de un proceso, (Tomar valores de Tabla
Valoración de Activos).
C: Confidencialidad. (Dar la valoración numérica en base a tabla Valoración

de Activos, la cual va del número 1 al 5)
I: Integridad. (Dar la valoración numérica en base a tabla Valoración de

Activos, la cual va del número 1 al 5)
D: Disponibilidad. (Dar la valoración numérica en base a tabla Valoración de

Activos, la cual va del número 1 al 5)
Total: Suma total de los valores asignados a C,I,D
Valor 1. En base al resultado obtenido en el campo “Total”, identificar el rango

para obtener el valor cualitativo conforme a los valores establecidos en la Tabla
Rango de Valoración (Bajo, Medio, Alto).
Valor 2. Ya identificado el valor 1 especificar el valor cuantitativo con base a la

Tabla Rango de Valoración (1,2,3).
Nota: Total: Valor 1 estará expresado en términos cualitativos (bajo,

medio o alto) y Valor 2 será el valor cuantitativo (entre 1 y 3).
Tabla Rango de valoración
*Rango Valor
3–5 Bajo (1)
6 – 10 Medio (2)
11 – 15 Alto (3)
*Rango es la suma de valores por pérdida de confidencialidad, integridad y

disponibilidad.
Elementos a proteger Deberá listar los elementos, componentes o activos que desea proteger ante
ante amenazas posibles amenazas que pongan en riesgo la Confidencialidad, Integridad y
Disponibilidad del mismo.
Deberá listar las vulnerabilidades a las que está expuesto el activo.

Vulnerabilidades
Deberá listar las amenazas a las que está expuesto el activo.

Amenazas
Deberá listar el Agente de amenaza que pone en riesgo la Confidencialidad,

Agentes de Amenaza
Integridad y Disponibilidad.
MATRIZ DE INFRAESTRUCTURAS CRÍTICAS

Activo
Indicar Id del Proceso, Id Activo y Nombre del Activo, tal como se definió en el
Inventario de Activos.
Activo
Activo de
Id. Proceso Id. Activo
información
Para determinar los valores de los parámetros requeridos y obtener las matrices
Valoración
de Impacto, Interdependencia y Criticidad; se muestra en la siguiente tabla, una
breve descripción de lo que se pretende captar en cada rubro.
Parámetros para determinar una IC (Infraestructura Critica).
Descripción
Área geográfica: Alcance geográfico y cantidad de personas

afectadas.
Período de Interrupción de los servicios en horas.
afectación:
Cantidad de IC La ocurrencia de un Evento afecta además a

afectadas otras IC de otra área (efecto cascada).
Campos afectados,  Impacto social (pérdidas de vidas,

debido a la enfermedades, lesiones graves,
ocurrencia de un evacuación).
Incidente, que  Económico (efecto en el PIB, volumen de
pérdida económica y/o degradación de
además pudiera
productos o servicios).
afectar a otros  Ambiental (Impacto en el lugar y sus
campos. alrededores).
 Gobernabilidad (capacidad para
responder a una contingencia, así como
atender uno o varios problemas al mismo
tiempo en diferentes escenarios).
En esta sección se efectúa la construcción de las matrices que integran los

Matriz de Impacto parámetros de una IC (Infraestructura Critica).
Matriz de Impacto.
Amplitud geográfica Calificación

1 Escuela del IPN 1
Más de 1 Escuela del IPN 2
Afectación en todo el IPN 3
Período de afectación Calificación

24 horas o menos 1
Hasta 72 horas 2
Más de 72 horas 3
IMPACTO
Con los valores asignados en los campos Área geográfica y Periodo de

afectación, ubicar los valores y asignar el nivel de impacto.
Período de afectación
Impacto
1 2 3
1 1 2 3
Amplitud geográfica 2 2 3 4
3 3 4 5
Descripción de valores:
Calificación Descripción
1 Afectación de una escuela con interrupción por 24 horas o menos
Afectación de una escuela con interrupción de hasta 72 horas

2
Afectación de 2 o más escuelas con interrupción de 24 horas o
menos
Afectación de 2 o más escuelas con interrupción de más de 72

horas
3
Afectación de un nodo (zona) con interrupción de hasta 72 horas
Afectación de todo el Instituto con interrupción de 24 horas o menos
Afectación de un nodo (zona) con interrupción de más de 72 horas

4
Afectación de todo el Instituto con interrupción de hasta 72 horas
5 Afectación de todo el Instituto con interrupción de más de 72 horas

Se deberá asignar el valor, dependiendo del número de infraestructuras

Matriz de afectadas, así como los campos que pudieran ser afectados (Impacto social,
Interdependencia. económico, ambiental, etc.).
IC afectadas Calificación
Sólo una IC es afectada 1
La IC afecta a otra 2
La IC afecta a 3 o más IC 3
Campos afectados Calificación
1 1
2 2
3 o más 3
INTERDEPENDENCIA
Campos de gobierno
Interdependencia
1 2 3
1 1 2 3
IC afectadas 2 2 3 4
3 3 4 5
Descripción de valores
1 Sólo es en una IC y un sólo campo afectado

Sólo es en una IC pero implica a dos campos afectados

2
Dos IC son afectadas, ambas en sólo un campo afectado
Sólo es en una IC pero implica a tres o más campos afectados
3 Dos IC son afectadas implicando a dos campos afectados
Tres o más IC son afectadas en un sólo campo afectado
Dos IC son afectadas implicando a tres o más campos afectados

4
Tres o más IC son afectadas implicando a dos campos afectados
5 Tres o más IC son afectadas implicando tres o más campos

afectados.
Matriz de Criticidad
Interdependencia
Criticidad
1 2 3 4 5
1 I II III III IV
2 II III III IV IV
Impacto 3 III III IV IV V
4 III IV IV V V
5 IV IV V V V
Descripción de valores
Afectación de 2 o más escuelas con interrupción por 24 horas o menos

I
Sólo es en una IC y un solo campo afectado
Afectación de 2 o más escuelas con interrupción por 24 horas o menos
II Sólo es en una IC pero implica a dos campos afectados
Afectación de 2 o más escuelas con interrupción de hasta 72 horas
II Afectación de un nodo (zona) con interrupción de 24 horas o menos
Sólo es en una IC y un sólo campo afectado
Afectación 2 o más escuelas con interrupción por 24 horas o menos
Dos IC son afectadas implicando a dos campos afectados
Afectación de un nodo (zona) con interrupción por 24 horas o menos
III Tres o más IC son afectadas implicando a dos campos afectados
Afectación de un nodo (zona) con interrupción de 24 horas o menos

Afectación de 2 o más escuelas con interrupción de más de 72 horas
Afectación de un nodo (zona) con interrupción por 24 horas o menos
Tres o más IC son afectadas implicando tres o más campos afectados

IV
Afectación de una zona(nodo) con interrupción de 24 horas o menos

Afectación de todo el instituto con interrupción de más de 72 horas
Afectación de todo el Instituto con interrupción de más de 72 horas

V Tres o más IC son afectadas implicando tres o más campos afectados

Al realizar la Valoración de Impacto y de Interdependencia, en la Matriz de

Identificación de las IC
criticidad se identificarán las Infraestructuras que deberán considerarse como
críticas: son las que hayan obtenido ponderaciones con valores IV y V.
Tipos de Infraestructuras Críticas :
 Redes
 Servicios
 Equipos
 Activos de TIC (Programas de cómputo, sistemas, aplicaciones, bienes
informáticos, componentes de infraestructura, bases de datos, archivos,
soluciones tecnológicas, equipo de un centro de datos, información, etc.)

Instructivo Análisis de Riesgos

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Instructivo Análisis de Riesgos

Încărcat de

Drepturi de autor:

Formate disponibile

INSTITUTO POLITÉCNICO NACIONAL

Instructivo para el llenado de las Matrices de infraestructuras críticas y activos clave

Valoración Activo de información: Es toda aquella información y medio que la contiene,

La valoración a la criticidad del activo de información será marcada en base a los

Tabla Valoración de activos

1 Poca o nula pérdida o daño.

2 Una pérdida o daño menor.

3 Una pérdida o daño medio, y los procesos de la Organización

4 Una pérdida o daño serio o considerable, y los procesos de la

5 Altas pérdidas monetarias, o un daño crítico a un individuo o a

Instructivo para el llenado de las Matrices de infraestructuras críticas y activos clave

Organización. Los procesos de negocio de la Organización

C I D Total Valor 1 Valor 2

Para cada Activo identificado se debe efectuar su Valoración para establecer de

C: Confidencialidad. (Dar la valoración numérica en base a tabla Valoración

I: Integridad. (Dar la valoración numérica en base a tabla Valoración de

D: Disponibilidad. (Dar la valoración numérica en base a tabla Valoración de

Total: Suma total de los valores asignados a C,I,D

Valor 1. En base al resultado obtenido en el campo “Total”, identificar el rango

Valor 2. Ya identificado el valor 1 especificar el valor cuantitativo con base a la

Nota: Total: Valor 1 estará expresado en términos cualitativos (bajo,

Tabla Rango de valoración

*Rango es la suma de valores por pérdida de confidencialidad, integridad y

Instructivo para el llenado de las Matrices de infraestructuras críticas y activos clave

Deberá listar las vulnerabilidades a las que está expuesto el activo.

Deberá listar las amenazas a las que está expuesto el activo.

Deberá listar el Agente de amenaza que pone en riesgo la Confidencialidad,

MATRIZ DE INFRAESTRUCTURAS CRÍTICAS

Parámetros para determinar una IC (Infraestructura Critica).

Área geográfica: Alcance geográfico y cantidad de personas

Cantidad de IC La ocurrencia de un Evento afecta además a

Instructivo para el llenado de las Matrices de infraestructuras críticas y activos clave

Campos afectados,  Impacto social (pérdidas de vidas,

En esta sección se efectúa la construcción de las matrices que integran los

Amplitud geográfica Calificación

Más de 1 Escuela del IPN 2

Afectación en todo el IPN 3

Período de afectación Calificación

Instructivo para el llenado de las Matrices de infraestructuras críticas y activos clave

Con los valores asignados en los campos Área geográfica y Periodo de

1 Afectación de una escuela con interrupción por 24 horas o menos

Afectación de una escuela con interrupción de hasta 72 horas

Afectación de 2 o más escuelas con interrupción de más de 72

Afectación de todo el Instituto con interrupción de 24 horas o menos

Afectación de un nodo (zona) con interrupción de más de 72 horas

5 Afectación de todo el Instituto con interrupción de más de 72 horas

Instructivo para el llenado de las Matrices de infraestructuras críticas y activos clave

Se deberá asignar el valor, dependiendo del número de infraestructuras

Sólo una IC es afectada 1

Campos afectados Calificación

1 Sólo es en una IC y un sólo campo afectado

Instructivo para el llenado de las Matrices de infraestructuras críticas y activos clave

Sólo es en una IC pero implica a dos campos afectados

Sólo es en una IC pero implica a tres o más campos afectados

3 Dos IC son afectadas implicando a dos campos afectados

Tres o más IC son afectadas en un sólo campo afectado

Dos IC son afectadas implicando a tres o más campos afectados

5 Tres o más IC son afectadas implicando tres o más campos

Impacto 3 III III IV IV V

Afectación de 2 o más escuelas con interrupción por 24 horas o menos

Instructivo para el llenado de las Matrices de infraestructuras críticas y activos clave

Afectación de 2 o más escuelas con interrupción por 24 horas o menos

II Sólo es en una IC pero implica a dos campos afectados

Dos IC son afectadas, ambas en sólo un campo afectado