VulnerabilidadesLas vulnerabilidades son debilidades de
seguridad asociadas con los activos de información de una organización.
Las vulnerabilidades no causan daño. Simplemente son condiciones que pueden hacer que una amenaza afecte un activo.
Identificación de vulnerabilidades
1. Seguridad de los recursos humanos2. Control de acceso3. Seguridad física y ambiental4. Gestión de operaciones y comunicación5. Mantenimiento, desarrollo y adquisición de
sistemas de información
Vulnerabilidades
Probabilidad de ocurrencia¿Qué probabilidad existe de que la amenaza se
materialice?Valoración Descripción de la Probabilidad
5 Casi cierto
Se espera que ocurra en la
mayoría de las
circunstancias.
Un suceso similar ha sucedido muchas
veces por año en el mismo lugar,
operación o actividad.
4 Probable
Probablemente ocurra en
la mayoría de las
circunstancias.
Un suceso similar ha sucedido muchas
veces por año en esta misma
organización.
3 Posible Podría ocurrir en algún
momento.
Un suceso similar ha sucedido en algún
momento en esta organización.
2 Improbable Pudo ocurrir en algún
momento.
Un suceso similar ha sucedido en algún
momento en una organización similar.
1 Raro
Puede ocurrir sólo en
circunstancias
excepcionales.
Un suceso similar has sucedido en la
industria a nivel mundial, pero no en esta
organización.
Impacto
Valoración Descripción del Impacto
5 Catastrófico Efectos nocivos, enorme pérdida financiera.
4 Mayor Prejuicios extensivos, pérdida financiera mayor.
3 Moderado Requiere tratamiento urgente, pérdida financiera alta.
2 Menor Tratamiento de primeros auxilios, pérdida financiera media.
1 Insignificante Sin prejuicios, baja pérdida financiera.
El impacto es el daño sobre el activo derivado de la materialización de una amenaza.
Probabilidad de que una amenaza pueda explotar una vulnerabilidad en particular
Riesgos
Impactos
Insignificante Menor Moderado Mayor Catastrófico
Probabilidad 1 2 3 4 5
5 Casi cierto Alto Alto Extremo Extremo Extremo
4 Probable Moderado Alto Alto Extremo Extremo
3 Posible Bajo Moderado Alto Extremo Extremo
2 Improbable Bajo Bajo Moderado Alto Extremo
1 Raro Bajo Bajo Moderado Alto Alto
Cálculo del riesgo
ACTIVO AMENAZA IMPACTOPROBABILIDAD
DE OCURRENCIAMEDICIÓN DEL RIESGO PRIORIZACIÓN
A W 5 3 15 1B X 4 2 8 3C Y 3 3 9 2D Z 2 2 4 4
Opciones de tratamiento del Riesgo
Reducir el riesgoSe deben implementar controles apropiados para
poder reducir el riesgo al nivel que se haya definido como aceptable.Reduciendo la posibilidad de que la vulnerabilidad
sea explotada por la amenaza.Reduciendo el posible impacto si el riesgo
ocurriese, detectando eventos no deseados, reaccionando y recuperándose de ellos.
Controles de SeguridadPráctica, procedimiento o mecanismo que reduce
el nivel de riesgo.
Aceptar el riesgoNo se encuentran controles para mitigar el
riesgo.La implantación de controles tiene un costo
mayor que las consecuencias del riesgo.Debe documentarse y definir con precisión el
criterio de aceptación del riesgo,La gerencia debe aprobar la decisión de
aceptación del riesgo.
Transferir el riesgoLa transferencia del riesgo es una opción cuando
para la compañía es difícil reducir el riesgo a un nivel aceptable.
Opciones para transferir el riesgo:AseguradorasTerciarización.
Evitar el riesgoEl riesgo puede evitarse por medio de:
No desarrollar ciertas actividades comerciales (par ejemplo: la no utilización de Internet).
Mover los activos de un área de riesgo.Decidir no procesar información particularmente
sensitiva.
Tratamiento del Riesgo
Riesgo residual
Después de implementar las decisiones relacionadas con el tratamiento de un riesgo, siempre habrá un remanente de ese mismo riesgo.
Si el riesgo residual se considerara inaceptable, deben tomarse decisiones para resolver su caso. Una opción es identificar diferentes opciones de tratamiento de riesgo; otra es instaurar más controles, o hacer arreglos con aseguradoras para reducir finalmente el riesgo a niveles aceptables.