ANLISIS DE RIESGO

El anlisis de riesgo, tambin conocido como evaluacin de riesgo o PHA por sus siglas en inglsProcess Hazards Analysis, es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daos y consecuencias que stas puedan producir.

Anlisis de Riesgos Informticos

El anlisis de riesgos informticos es un proceso que comprende la identificacin de activos informticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos as como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo Como se describe en el BS ISO / IEC 27001:2005, la evaluacin del riesgo incluye las siguientes acciones y actividades.

Identificacin de los activos

Identificacin de los requisitos legales y de negocios que son relevantes para la identificacin de los activos

Valoracin de los activos identificados

Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una prdida de confidencialidad, integridad y disponibilidad. Identificacin de las amenazas y vulnerabilidades importantes para los activos identificados. Evaluacin del riesgo, de las amenazas y las vulnerabilidades a ocurrir. Clculo del riesgo. Evaluacin de los riesgos frente a una escala de riesgo preestablecidos '

ELEMENTOS
ACTIVO: recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos. AMENAZA: Es un evento que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. IMPACTO: consecuencia de la materializacin de una amenaza. RIESGO: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organizacin. VULNERABILIDAD: posibilidad de ocurrencia de la materializacin de una amenaza sobre un Activo. ATAQUE: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. DESASTRE O CONTINGENCIA: interrupcin de la capacidad de acceso a informacin y procesamiento de la misma a travs de computadoras necesarias para la operacin normal de un negocio

PUESTA EN MARCHA DE UNA POLTICA DE SEGURIDAD

Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificacin. La seguridad informtica debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informtico con toda confianza. Por eso en lo referente a elaborar una poltica de seguridad, conviene: Elaborar reglas y procedimientos para cada servicio de la organizacin. Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusin Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informticos. Los derechos de acceso de los operadores deben ser definidos por los responsables jerrquicos y no por los administradores informticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la poltica de seguridad definida. Adems, como el administrador suele ser el nico en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e informacin relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, as como ser el punto de entrada de la comunicacin a los trabajadores sobre problemas y recomendaciones en trmino.