DOCUMENTACION DE AMENAZAS
De la calidad
con que se desarrolle este paso depende el éxito y la eficacia
del sistema de administración de riesgo. Si las amenazas no se
definen y documentan correctamente, los demás pasos y
etapas de la metodología quedarán defectuosas y
serán de poco valor para la organización. En este
paso es obligatorio documentar los siguientes datos
por cada una de las amenazas de riesgo seleccionadas en el paso
anterior:
- Agentes Generadores: Personas o desastres naturales que originan los riesgos.
- Segmentos de los Factores asociados con la Amenaza: Subclasificación
de los agentes generadores de Riesgo, se hace con el fin de catalogar
eventos ocurridos u operaciones sospechosas.
- Activos Impactados por la Amenaza: Activos tangibles e intangibles de la empresa, que se ven afectados por la materialización de las amenazas.
- Frecuencia de Ocurrencia de la Amenaza: Rangos
de tiempo en los que puede ocurrir una amenaza específica. Es
relativo a la probabilidad de ocurrencia de esa amenaza según el
estándar escogido en la empresa (MECI o AS/NZ4360).
- Rango de Pérdida por cada Ocurrencia de la Amenaza:
Rangos de pérdida económica que puede ocasionar la
materialización de una amenaza específica. Es relativo al
impacto de ocurrencia de esa amenaza según el estándar
escogido en la empresa (MECI o AS/NZ4360).
- Dependencias donde puede Ocurrir la Amenaza: organizacionales de la compañía.
- Escenarios de Riesgo donde se puede Presentar la Amenaza:
Escenarios que son clasificados como escenarios de Aplicación,
de Tecnología Información, de Infraestructura
Tecnológica y de Procesos (estos últimos no vienen
incluidos por ser relativos a la empresa).
Cuando se han
diligenciado todos los campos obligatorios para una amenaza, frente a
esta se colocará el estado “SI” para indicar
que está terminada su documentación.
Es opcional el
diligenciamiento de los siguientes campos: vulnerabilidades,
consecuencias para la organización, antecedentes sobre
incidentes de seguridad y tipos de riesgo MECI al cual
corresponde cada amenaza.
Documentar: al
dar click sobre éste enlace, el sistema lo llevará a una
nueva ventana, donde podrá realizar la documentación
completa de la amenaza.
Reporte: debe seleccionar de la lista, el reporte que desee generar y luego dar click sobre el botón reporte.
Volver: permite volver a la ventana (Identificación y Documentación de riesgos).