sas 3ra

VulnerabilidadesLas vulnerabilidades son debilidades de

seguridad asociadas con los activos de información de una organización.

Las vulnerabilidades no causan daño. Simplemente son condiciones que pueden hacer que una amenaza afecte un activo.

Identificación de vulnerabilidades

1. Seguridad de los recursos humanos2. Control de acceso3. Seguridad física y ambiental4. Gestión de operaciones y comunicación5. Mantenimiento, desarrollo y adquisición de

sistemas de información

Vulnerabilidades

Probabilidad de ocurrencia¿Qué probabilidad existe de que la amenaza se

materialice?Valoración Descripción de la Probabilidad

5 Casi cierto

Se espera que ocurra en la

mayoría de las

circunstancias.

Un suceso similar ha sucedido muchas

veces por año en el mismo lugar,

operación o actividad.

4 Probable

Probablemente ocurra en

la mayoría de las

circunstancias.

Un suceso similar ha sucedido muchas

veces por año en esta misma

organización.

3 Posible Podría ocurrir en algún

momento.

Un suceso similar ha sucedido en algún

momento en esta organización.

2 Improbable Pudo ocurrir en algún

momento.

Un suceso similar ha sucedido en algún

momento en una organización similar.

1 Raro

Puede ocurrir sólo en

circunstancias

excepcionales.

Un suceso similar has sucedido en la

industria a nivel mundial, pero no en esta

organización.

Impacto

Valoración Descripción del Impacto

5 Catastrófico Efectos nocivos, enorme pérdida financiera.

4 Mayor Prejuicios extensivos, pérdida financiera mayor.

3 Moderado Requiere tratamiento urgente, pérdida financiera alta.

2 Menor Tratamiento de primeros auxilios, pérdida financiera media.

1 Insignificante Sin prejuicios, baja pérdida financiera.

El impacto es el daño sobre el activo derivado de la materialización de una amenaza.

Probabilidad de que una amenaza pueda explotar una vulnerabilidad en particular

Riesgos

Impactos

Insignificante Menor Moderado Mayor Catastrófico

Probabilidad 1 2 3 4 5

5 Casi cierto Alto Alto Extremo Extremo Extremo

4 Probable Moderado Alto Alto Extremo Extremo

3 Posible Bajo Moderado Alto Extremo Extremo

2 Improbable Bajo Bajo Moderado Alto Extremo

1 Raro Bajo Bajo Moderado Alto Alto

Cálculo del riesgo

ACTIVO AMENAZA IMPACTOPROBABILIDAD

DE OCURRENCIAMEDICIÓN DEL RIESGO PRIORIZACIÓN

A W 5 3 15 1B X 4 2 8 3C Y 3 3 9 2D Z 2 2 4 4

Opciones de tratamiento del Riesgo

Reducir el riesgoSe deben implementar controles apropiados para

poder reducir el riesgo al nivel que se haya definido como aceptable.Reduciendo la posibilidad de que la vulnerabilidad

sea explotada por la amenaza.Reduciendo el posible impacto si el riesgo

ocurriese, detectando eventos no deseados, reaccionando y recuperándose de ellos.

Controles de SeguridadPráctica, procedimiento o mecanismo que reduce

el nivel de riesgo.

Aceptar el riesgoNo se encuentran controles para mitigar el

riesgo.La implantación de controles tiene un costo

mayor que las consecuencias del riesgo.Debe documentarse y definir con precisión el

criterio de aceptación del riesgo,La gerencia debe aprobar la decisión de

aceptación del riesgo.

Transferir el riesgoLa transferencia del riesgo es una opción cuando

para la compañía es difícil reducir el riesgo a un nivel aceptable.

Opciones para transferir el riesgo:AseguradorasTerciarización.

Evitar el riesgoEl riesgo puede evitarse por medio de:

No desarrollar ciertas actividades comerciales (par ejemplo: la no utilización de Internet).

Mover los activos de un área de riesgo.Decidir no procesar información particularmente

sensitiva.

Tratamiento del Riesgo

Riesgo residual

Después de implementar las decisiones relacionadas con el tratamiento de un riesgo, siempre habrá un remanente de ese mismo riesgo.

Si el riesgo residual se considerara inaceptable, deben tomarse decisiones para resolver su caso. Una opción es identificar diferentes opciones de tratamiento de riesgo; otra es instaurar más controles, o hacer arreglos con aseguradoras para reducir finalmente el riesgo a niveles aceptables.