Estimacin del grado de

exposicin de una amenaza

sobre uno o ms activos
causando daos o perjuicios
a la Organizacin.
El riesgo indica lo que le
podra pasar a los activos si
no
se
protegieran
adecuadamente.

Las amenazas son eventos que

pueden producir daos materiales
o inmateriales en los activos. Las
amenazas son cosas que ocurren.
Y, de todo lo que puede ocurrir,
interesa lo que puede pasarle a
nuestros activos y causar un dao.
Hay
amenazas
naturales
(terremotos, inundaciones, ...) y
desastres
industriales
o
servicios (contaminacin, fallos
elctricos, ...) ante los cuales el
sistema de informacin es vctima.
Tambin hay amenazas causadas
por las personas, bien errores o
bien ataques intencionados.

Polticas de seguridad
Las
polticas
de
seguridad
son
las
prcticas,
procedimientos
o
mecanismos que ayudan
a reducir el riesgo.

Gracias a este anlisis

de
riesgos
conoceremos
el
impacto econmico de
un fallo de seguridad y
la probabilidad realista
de que este ocurra .

El objetivo principal de este proceso es establecer el marco

general de referencia para todo el anlisis. Esta etapa incluye la
estimacin de:
Definir los objetivos del proceso de anlisis de
riesgos.
Personal tcnico: Personas cuya funcin es recabar la
informacin y establecer las medidas necesarias para
cumplir con el anlisis.
Usuarios: Son aquellas de quienes se recoger la
informacin dentro de la organizacin
Recursos econmicos necesarios para la
ejecucin.
Tiempo estimado para realizar el anlisis
y elaborar las polticas.

Se denomina activos a los recursos del sistema de informacin

o relacionados con ste, necesarios para que la
Organizacin funcione correctamente y alcance los
objetivos propuestos por su direccin.
Conviene repetir que slo interesan los recursos de los sistemas
de informacin que tienen un valor para la Organizacin. A ttulo
de ejemplo, un servidor donde se encuentre almacenada toda
informacin es un activo de mucho valor. Todo su valor es
imputado:
la indisponibilidad, la interrupcin del servicio es el valor de
disponibilidad que se le imputar al servidor
el acceso no controlado al servidor pone en riesgo el secreto de
los datos que presenta.
el coste que suponga la prdida de confidencialidad de los datos
es el valor de confidencialidad que se le imputar al servidor.

Quizs la mejor aproximacin para identificar los activos sea

preguntar directamente:
Qu activos son fundamentales para que la organizacin
consiga sus objetivos?
Hay ms activos que se tengan que proteger por obligacin
?
Hay activos relacionados con los anteriores?
No siempre es evidente identificar un activo. Si por ejemplo se
tienen 300 puestos de trabajo o PC, todos idnticos a efectos de
configuracin y datos que manejan, no es conveniente analizar
300 activos idnticos. Basta analizar un PC genrico que cuya
problemtica representa la de todos. Agrupar simplifica el
anlisis. Otras veces se presenta el caso contrario, un servidor
central que se encarga de varias funciones: servidor de archivos,
de mensajera, de la intranet, del sistema de gestin documental
y ... En este caso conviene segregar los servicios prestados y
analizarlos por separado.

Tipo de amenaza:
Tipos de activos:

Dimensiones:

Descripcin:
Tipo de activo:
Amenazas:
Descripcin:

Dimensiones:

Escala de valoracin de riesgos:

Valor

Criterio

10

Muy alto

Dao muy grave a la

organizacin

7-9

alto

Dao grave

4-6

medio

Dao importante

1-3

bajo

Dao menor

despreciable

irrelevante