C-I-D: determinar el grado de confidencialidad (C), integridad (I), disponibilidad (D) y de cada uno de las entradas del análisis de riesgos. Estos valores se establecen del 1 al 4 en función de lo siguiente:
1 = insignificante
2 = bajo
3 = medio
4 = alto
Los criterios de valoración de la Confidencialidad, Integridad y Disponibilidad vienen establecidos según lo recogido en los Criterios de valoración de activos.
Impacto: se trata del valor que determina la medida del daño que se produce sobre un activo derivado de la materialización de un riesgo. Se calcula mediante el sumatorio de los valores establecidos de confidencialidad (C), integridad (I), disponibilidad (D) y obtenidos de las columnas anteriores. Pudiendo tener un valor desde 3 a 12.
Probabilidad (P): indica la frecuencia o probabilidad de que un riesgo se materialice. De forma general los valores de la probabilidad se establecen del 1 al 4 en función de lo siguiente:
1 = insignificante
2 = bajo
3 = medio
4 = alto
Riesgo: posibilidad de que se produzca un impacto determinado sobre la seguridad de la información de la organización.
La metodología empleada en el análisis de riesgos debe perseguir un objetivo claro: un valor que nos indique el riesgo y que nos permita tomar decisiones priorizadas.
Los riesgos van desde Bajo (B) hasta Alto (A) y se calculan en función de la probabilidad de ocurrencia del riesgo y del impacto.
El valor del riesgo asociado a cada amenaza se calcula multiplicando el valor del impacto (I) por la probabilidad (P) de que este ocurra.
Riesgo = Impacto (I) x Probabilidad (P)
Clasificación de los riesgos: en base a la fórmula descrita anteriormente y para facilitar la interpretación de los datos obtenidos mediante las técnicas anteriores se procederá a establecer un escalado en el que ubicar cada uno de los valores de riesgo.
Nivel de riesgo
Valores
Bajo
1 - 10
Medio
11-19
Alto
≥20
Todos los riesgos evaluados con un valor igual o superior a 20 requerirán de un plan de tratamiento. No obstante, la empresa se reserva el derecho de tratar riesgos que tras la evaluación no hayan obtenido esta puntuación pero por su importancia sea necesario su tratamiento, así mismo, puede haber riesgos que alcanzando los 20 puntos la empresa considere que no es posible tratar por algún motivo.
Análisis de riesgos de activos ENS
Categoría del análisis: ENS Análisis de riesgos
ANÁLISIS DE RIESGO INICIAL
Valor del activo: Se realizará una valoración desde la perspectiva de la “necesidad de proteger”. Cuanto más valioso es un activo, mayor nivel de protección requeriremos en la dimensión o dimensiones pertinentes.
Este valor se determina en función de la siguiente escala cualitativa:
1 = bajo
2 = medio
3 = alto
4 = crítico
CRITERIOS DE VALORACIÓN
C-I-D-T-A: determinar el grado de confidencialidad (C), integridad (I), disponibilidad (D), Trazabilidad (T) y Autenticidad (A) de cada una de las entradas del análisis de riesgos. Estos valores se establecen del 1 al 4 en función de lo siguiente:
1 = insignificante
2 = bajo
3 = medio
4 = alto
Los criterios de valoración de la Confidencialidad, Integridad y Disponibilidad vienen establecidos según lo recogido en los Criterios de valoración de activos.
Impacto: Se trata del valor que determina la medida del daño que se produce sobre un activo derivado de la materialización de una amenaza. Se calcula mediante el sumatorio de los valores establecidos de Confidencialidad (C), Integridad (I), Disponibilidad (D), Trazabilidad (T) y Autenticidad (A) y obtenidos de las columnas anteriores. Pudiendo tener un valor desde 5 a 20.
Probabilidad (P): indica la frecuencia o probabilidad de que una amenaza se materialice. De forma general los valores de la probabilidad de la amenaza se establecen del 1 al 4 en función de lo siguiente:
1 = insignificante
2 = bajo
3 = medio
4 = alto
Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un conjunto de activos o en toda la organización.
Metodología análisis ENS
La metodología empleada en el análisis de riesgos debe perseguir un objetivo claro: un valor que nos indique el riesgo asociado a los activos y que nos permita tomar decisiones priorizadas.
En el análisis de riesgos trabajamos con tres valores de riesgo:
Riesgo inicial: es el riesgo inherente a la existencia de un activo antes de aplicar cualquier salvaguarda. Se calcula como la función del agregado de los impactos, el valor del activo y la probabilidad de materialización del riesgo según la siguiente fórmula:
Riesgo residual: es el nivel de riesgo que permanece después de aplicar las salvaguardas o medidas de mitigación. Representa el riesgo que aún puede afectar a los activos, a pesar de haber implementado controles y protecciones.
Riesgo final: es la evaluación del riesgo residual en el contexto de la efectividad de las salvaguardas implementadas y las mejoras continuas. Este riesgo se reevalúa periódicamente para asegurarse de que las salvaguardas continúen siendo efectivas y adecuadas para proteger los activos.
Riesgo Inicial: Riesgo inherente antes de aplicar salvaguardas.
Riesgo Residual: Riesgo que permanece después de aplicar salvaguardas.
Riesgo Final: Evaluación continua del riesgo residual y la efectividad de las salvaguardas.
El “Riesgo Inicial”, se calcula como función del agregado de los impactos, el valor del activo y la probabilidad de materialización del riesgo según la siguiente Fórmula:
Riesgo Inicial = Valor del activo x Impacto x Probabilidad
El cálculo del valor del riesgo residual y final se detalla en el apartado “RIESGO RESIDUAL”.
IDENTIFICACIÓN Y VALORACIÓN DE SALVAGUARDAS
Previo a la realización del análisis de riesgos, es necesario identificar la relación de salvaguardas que se van a aplicar. Como referencia para ellas se toma el ejemplo del catálogo de MAGERIT.
Para la selección de las salvaguardas es necesario tener en cuenta el tipo de activo que se necesita proteger, las dimensiones de seguridad que se verían afectadas, así como las amenazas a las que nos enfrentemos o el hecho de que ya existan otras salvaguardas.
De este modo la salvaguarda puede tener 2 efectos:
Reducir la probabilidad de que ocurran las amenazas
Limitar el daño causado
En este sentido podemos encontrar y elegir entre los siguientes tipos de salvaguarda
Prevención
Disuasión
Eliminación
Minimización del Impacto
Corrección
Recuperación
Monitorización
Detección
Concienciación
Administración
Una vez seleccionada la salvaguarda y aplicado el tipo de protección que ofrece es necesario valorarla para medir su efectividad. Para realizar este cálculo nos basaremos en la madurez de la medida, en su grado de implantación, y en una estimación del grado de mitigación del riesgo.
Estableceremos un valor de la salvaguarda según la siguiente tabla:
Criterio
Valor
Las salvaguardas establecidas mitigan completamente el riesgo
100%
Las salvaguardas establecidas mitigan el riesgo en un 90% de su valor inicial.
90%
Las salvaguardas establecidas mitigan el riesgo en un 80% de su valor inicial.
80%
Las salvaguardas establecidas mitigan el riesgo en un 70% de su valor inicial.
70%
Las salvaguardas establecidas mitigan el riesgo en un 60% de su valor inicial.
60%
Las salvaguardas establecidas mitigan el riesgo en un 50% de su valor inicial.
50%
Las salvaguardas establecidas mitigan el riesgo en un 40% de su valor inicial.
40%
Las salvaguardas establecidas mitigan el riesgo en un 30% de su valor inicial.
30%
Las salvaguardas establecidas mitigan el riesgo en un 30% de su valor inicial.
20%
Las salvaguardas establecidas mitigan el riesgo en un 20% de su valor inicial.
10%
No se han establecido salvaguardas.
0%
Para que una salvaguarda sea 100% efectiva es necesario que desde el punto de vista técnico sea idónea y que siempre se utilice además de que esté desplegada, sea operativa y todo el mundo implicado en su gestión esté formado y concienciado al respecto. De esta manera se puede hacer una clasificación aproximada de cuanto protege cada una de las salvaguardas. Se analizarán desde el punto de vista de que en qué porcentaje estas medidas evitan o limitan la materialización de las amenazas.
Sobre el riesgo potencial detectado se aplicará uno de los porcentajes reflejados en la tabla posterior para determinar el riesgo final.
RIESGO RESIDUAL
Una vez evaluado el nivel de riesgo de cada activo, se aplicará el correspondiente control, con el que conseguiremos reducir el riesgo. En algunos casos este nivel se reducirá hasta un nivel inferior al nivel de riesgo aceptable, y en los casos en los que el nivel de riesgo siga estando por encima del nivel aceptable, tendremos que o bien seguir tratándose, o simplemente asumir el riesgo. Este riesgo que seguirá existiendo después de aplicar los controles, es lo que denominaremos riesgo residual.
Riesgo Residual = Riesgo Inicial – (Riesgo Inicial x Valor Salvaguardas Iniciales)
Clasificación de los riesgos: en base a la fórmula descrita anteriormente y para facilitar la interpretación de los datos obtenidos mediante las técnicas anteriores se procederá a establecer un escalado en el que ubicar cada uno de los valores de riesgo. La escala se define en el propio análisis de riesgos:
NIVEL DE RIESGO BAJO: VALORES: <=20
NIVEL DE RIESGO MEDIO: VALORES: 21-40
NIVEL DE RIESGO ALTO: VALORES: >=41
RIESGO ACEPTABLE: RIESGO MEDIO O BAJO
TRATAMIENTO DEL RIESGO RESIDUAL
Después de calcular el riesgo residual, si el nivel de riesgo sigue estando por encima del nivel establecido como aceptable, se decidirá realizar una de las siguientes acciones:
Tratar: Se estudiarán las medidas a tratar de reducir el riesgo. (Plan de tratamiento)
Asumir: Se asumirá el riesgo resultante.
En el caso de asumirlo, por cuestiones internas, la Organización es consciente y asume que puede tener una repercusión negativa para la Organización.
Por último, los propietarios de los riesgos aprobarán el riesgo residual y el plan de tratamiento de riesgos. Estos riesgos podrán ser aprobados por el responsable de seguridad en lugar de por el propietario del riesgo.
En el documento habilitado para el cálculo del riesgo se ha incluido una última columna en la que se hace un cálculo del “riesgo final”, esto es el riesgo calculado tras aplicar las medidas del plan de tratamiento.
Para este cálculo se vuelve a asignar un valor a las salvaguardas (tanto las iniciales como las mejoras el PTR), y siguiendo el procedimiento descrito con anterioridad se vuelve a aplicar la fórmula:
Riesgo Final = Riesgo Inicial – (Riesgo Inicial x Valor Salvaguardas tras PTR)
Utilizamos cookies para optimizar nuestro sitio web y nuestro servicio.
Técnicas o necesarias / preferencias
Siempre activo
El almacenamiento o acceso técnico es estrictamente necesario para el propósito legítimo de permitir el uso de un servicio específico explícitamente solicitado por el abonado o usuario, o con el único propósito de llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas.
Preferencias
El almacenamiento o acceso técnico es necesario para la finalidad legítima de almacenar preferencias no solicitadas por el abonado o usuario.
Análisis o medición
El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos.El almacenamiento o acceso técnico que se utiliza exclusivamente con fines estadísticos anónimos. Sin un requerimiento, el cumplimiento voluntario por parte de tu Proveedor de servicios de Internet, o los registros adicionales de un tercero, la información almacenada o recuperada sólo para este propósito no se puede utilizar para identificarte.
Publicidad comportamental
El almacenamiento o acceso técnico es necesario para crear perfiles de usuario para enviar publicidad, o para rastrear al usuario en una web o en varias web con fines de marketing similares.
