COMTEL 2012 IV Congreso Internacional de Computación y Telecomunicaciones 121 Un Proceso Práctico de Análisis de Riesgos de Activos de Información Mg. Marcos Sotelo Bedón 1,2 , José Torres Utrilla 3 , Juan Rivera Ortega 4 Marcos.sotelo@bcrp.gob.pe, jdtorresu@uni.pe, river.rbk@gmail.com 1 Gerencia de Tecnologías de Información, Banco Central de Reserva de Perú (BCRP) 2 Universidad Nacional Mayor de San Marcos (UNMSM) 3 Universidad Nacional de Ingeniería (UNI) 4 Universidad de San Martin de Porres (USMP) Resumen: El artículo presenta un proceso de análisis de riesgos de activos de información, en el contexto de un Sistema de Gestión de Seguridad de Información (SGSI) alineado al estándar ISO/IEC 27001:2005 y un software (prototipo) que le brinda soporte, aunado a un portal cuyo contenido tiene por finalidad sensibilizar en gestión de riesgos y seguridad de información. Este proceso sigue los lineamientos de los principales estándares y buenas prácticas en gestión de riesgos y seguridad de la información, y viene siendo aplicado en el país en los últimos cinco años. El presente proceso utiliza el marco referencial Magerit (Metodología de Análisis y Gestión de Riesgos de Tecnologías de Información) como eje de la propuesta, no obstante cabe mencionar que a diferencia de este marco, el proceso en mención incorpora el Análisis de Impacto de Negocio(BIA), el cual tiene por objetivo evaluar el impacto sobre los procesos de negocio, debido a la no disponibilidad de los servicios de tecnologías de información, lo que posteriormente se deriva en la obtención del nivel de criticidad para cada activo de información, lo cual es indispensable para establecer el nivel de riesgo de los mismos. Abstract: The article presents a process of risk analysis of information assets, in the context of a System of Information Security Management (ISMS) aligned to ISO / IEC 27001:2005, and software (prototype) that supports it. This process follows the guidelines of the major standards and best practices in risk management and information security, and has been applied in the country over the past five years, this process uses the frame of reference Magerit (Handbook of Risk Management Information Technology) as the core of the proposal, however it is noteworthy that unlike this framework, the process in question incorporates the Business Impact Analysis (BIA), which aims to assess the impact on business processes, due to the unavailability of information technology services, which subsequently leads to obtaining the level of criticality for each information asset, which is essential to establish the level of risk for them. Palabras clave: Gestión de riesgos; análisis de riesgos de activos de información; gestión de seguridad de la información; activos de información. 1. Introducción La incorporación acelerada de las tecnologías de información en las entidades privadas y públicas ha dado paso a nuevos retos, siendo uno de los relevantes la gestión de la seguridad de sus activos de información, toda vez que son críticos para su competitividad o supervivencia [1]. En una gestión por procesos, las organizaciones son representadas por un conjunto de procesos (estratégicos, tácticos y operativos), los cuales son asistidos por diversos activos de información, tales como los Servicios TI, constituidos por un conjunto de activos TI, como se aprecia en la Figura 1. En estos procesos, la información es uno de los recursos más importantes, por lo que su gestión eficiente constituye un factor crítico para el desempeño empresarial, debido a ello, requiere una adecuada protección. Una estrategia para darle esa protección es implantando un sistema de gestión de seguridad de información (SGSI), alineado al estándar ISO/IEC 27001 [2], es decir, un proceso sistemático, documentado y conocido por toda la organización. Para el éxito de estos proyectos es fundamental la participación de la alta dirección y el desarrollo de una cultura de seguridad de la información [3]. En muchas organizaciones existe un compromiso intrínseco de implantar un sistema SGSI. En el caso del sector público, la reciente aprobación de la Norma Técnico Peruana “NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información. Técnicas de Seguridad. Figura 1. Procesos asistidos por Servicios TI. Fuente: Elaboración propia. Sistemas de Gestión de Seguridad de la Información. Requisitos” mediante la Resolución Ministerial N° 129- 2012-PCM [4] establece su implementación obligatoria en las Instituciones Públicas, siendo la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) el