Este documento describe los conceptos básicos de seguridad informática para pymes, incluyendo la identificación y clasificación de activos, la creación de perfiles de amenazas, y el establecimiento de criterios para evaluar el impacto y la probabilidad de riesgos. También cubre el desarrollo de estrategias de protección y planes de mitigación para los activos críticos. El objetivo final es proporcionar una estrategia integral de seguridad desde una perspectiva técnica y organizacional.
5. 5
Gestión del riesgo en la seguridad de la información
Proceso de Inscripciones y Admisiones DARCA
Identificar Información Organizacional
• Identificar, clasificar y valorar los activos de la organización
Tipos
de
Activos
Información
Sistemas
Aplicacione
s
Servicios
Intangibles
Personas
6. 6
Gestión del riesgo en la seguridad de la información
Proceso de Inscripciones y Admisiones DARCA
2. Crear Perfiles de Amenaza
• Selección de Activos Críticos.
Si el activo al perderse,
destruirse, modificarse,
interrumpirse o revelarse,
ocasiona un impacto en la
continuidad del proceso
de negocio, se considera
el activo como critico.
7. Gestión del riesgo en la seguridad de la información
Proceso de Inscripciones y Admisiones DARCA
7
8. Gestión del riesgo en la seguridad de la información
Proceso de Inscripciones y Admisiones DARCA
8
9. Gestión del riesgo en la seguridad de la información
Proceso de Inscripciones y Admisiones DARCA
Establecer criterios de evaluación de impacto
TIPO DE IMPACTO
REPUTACION PRODUCTIVIDAD FINANCIERO SALUD
Reputación Horas de Personal Costos Operativos Vida
Perdida de Usuarios Perdida de Ingresos Salud
Perdida Financiera
10. Gestión del riesgo en la seguridad de la información
Proceso de Inscripciones y Admisiones DARCA
Reputación / Confianza de los usuarios
Tipo de impacto Bajo Impacto Medio Impacto Alto Impacto
Reputación La reputación se ve
afectada
mínimamente, se
requiere poco o ningún
esfuerzo o gasto para
recuperarse.
La reputación se daña, y
se requiere un poco de
esfuerzo y gastos para
recuperarse.
La reputación está
irrevocablemente
destruida o dañada.
Perdida de Usuarios Menos de 5% de
reducción en los
usuarios debido a la
pérdida de confianza
5 a 10 % de reducción en
los usuarios debido a la
pérdida de confianza
Más de 10 % de
reducción en los
usuarios debido a la
pérdida de confianza
Establecer criterios de evaluación de impacto
11. Gestión del riesgo en la seguridad de la información
Proceso de Inscripciones y Admisiones DARCA
Financiero
Tipo de impacto Bajo Impacto Medio Impacto Alto Impacto
Costos operativos Los costos operativos se
aumentan mínimamente
(<5%).
Los costos operativos se
incrementan
significativamente (Hasta
10%).
Los costos operativos
se incrementan en más
de 10%
Perdida de Ingresos Reducción de ingresos en
un 5%
5 a 15 % de reducción de
ingresos
Más del 15% en
reducción de ingresos
Perdida Financiera Costo financiero menor a
50 millones de pesos
anuales
Costo financiero de 51 a 250
millones de peso anuales
Costo financiero mayor
a 250 millones de pesos
anuales
Establecer criterios de evaluación de impacto
12. Gestión del riesgo en la seguridad de la información
Proceso de Inscripciones y Admisiones DARCA
Productividad
Tipo de impacto Bajo Impacto Medio Impacto Alto Impacto
Horas de personal Las horas de trabajo del
personal se incrementaron
en menos de 10 % de 5 a
10 día (s).
Las horas de trabajo del
personal se incrementaron
entre 11 % y 20 % de 5 a 10
día (s).
Las horas de trabajo del
personal se
incrementaron en más
de un 21 % de 5 a 10
día (s).
Establecer criterios de evaluación de impacto
13. Gestión del riesgo en la seguridad de la información
Proceso de Inscripciones y Admisiones DARCA
Seguridad / Salud
Tipo de impacto Bajo Impacto Medio Impacto Alto Impacto
Vida No hay pérdida o amenaza
significativa a las vidas de
los clientes o el personal
de los miembros
Vidas de los clientes o de los
miembros del personal están
amenazados, pero se
recuperarán después de
recibir tratamiento médico.
La pérdida de vidas de
los usuarios o el los
miembros del personal
Salud Mínima degradación de la
salud, inmediatamente
tratable en los usuarios o
miembros del personal
con recuperación de
cuatro días
Impedimento de salud
temporal o recuperable de
los usuarios o miembros del
personal
Un deterioro
significativo o
permanente de la salud
de los usuarios o
miembros del personal
Establecer criterios de evaluación de impacto
14. Gestión del riesgo en la seguridad de la información
Proceso de Inscripciones y Admisiones DARCA
Establecer los criterios de evaluación de probabilidad.
Criterios de Probabilidad
Baja Probabilidad Media Probabilidad Alta Probabilidad
Tiempo entre eventos 1 vez cada: 2
años, 5 años, 10
años, 20 años, 50
años.
1 vez al año 365 veces al año
(diario), 52 veces al
año (semanal), 12
veces al año
(mensual), 4 veces al
año, 2 veces al año.
15. Gestión del riesgo en la seguridad de la información
Proceso de Inscripciones y Admisiones DARCA
Examinar las vías de acceso a los activos críticos en
la infraestructura informática.
16. Gestión del riesgo en la seguridad de la información
Proceso de Inscripciones y Admisiones DARCA
Examinar la infraestructura con relación a los activos
críticos.
• Analizar los procesos tecnológicos relacionados con los activos
críticos.
17.
18. 18
Gestión del riesgo en la seguridad de la información
Proceso de Inscripciones y Admisiones DARCA
Desarrollar estrategias de protección y planes de
mitigación.
Actividad de
mitigación
Razón
fundamental
Responsabilidad
de mitigación
21. Gestión del riesgo en la seguridad de la información
Proceso de Inscripciones y Admisiones DARCA
Contexto del riesgo
Vulnerabilidades
Controles Activos
Requerimientos
de seguridad
Valor de los
Activos
Amenazas
Riesgos
21
Aprovechan
Aumentan Exponen
Tienen
Aumenta
Impactan si
se
materializan
Disminuye
n
Aumentan
Protegen
de
Imponen
Marcan
Fuente: www.iso27000.es