Análisis, Evaluación y Gestión de riesgos

Informático
Por Andres Benavides

En el siguiente articulo se intentara aclarar algunos conceptos que giran entorno a la Seguridad Informát
Vulnerabilidad y Riesgos.

No se puede hablar de riesgo, si no se conoce qué se quiere proteger, que valor tiene y contra quien o que se quiere proteger.

La información, desde el punto de punto de vista del usuario, serian las contraseñas para ingresar al corr
lista de productos en el carro de compras, etc. Para las empresas serian: los datos de clientes, la de los proveedores,
la información es el activo mas importante para las organizaciones, todos los activos tienen valor monetario. ¿Cuanto le cost
robada y vendida a la competencia?, ¿Cuanto perdería una empresa si el sitio web por cual vende sus productos dejara de fun

La identificación de los activos de información, así como la medición de su valor, es una de las tareas in
olvidar a los elementos que permiten almacenar, procesar y transmitir dicha información, como las Área
centros de computo, Switches, Routers, Servidores, Impresoras, etc. Quedaría pendiente conocer las am
vulnerabilidades in trisecas que pueden tener dichos elementos. En este punto se espera que haya clarida
sistema, como pueden ser los hackers, virus, incendios, etc. Y las vulnerabilidades son defectos en las co
una amenaza se materialice.

El riesgo es una ecuación que relaciona los activos, amenazas, vulnerabilidades y su impacto sobre los a
riesgospermite medir de manera cuantitativa o cualitativa los riegos. El paso siguiente es la Gestión de
un Tratamiento de riesgos, con la intención de disminuir su nivel, o su transferencia a otra entidad que
riesgo.

Existen muchas Metodologías para el Análisis, Evaluación y Gestión de riesgos. A continuación se v

detallar la Metodología MAGERIT.

 OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation). Es una metodología que adem
el componente organizacional - estratégico. Sitio oficial : http://www.cert.org/resilience/products-services/octave/
 NIST SP 800-30 (National Institute of Standards and Technology). En la publicación SP 800-30 se presenta u
riegos. http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

MAGERIT Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.

Desarrollada por el Consejo Superior de Administración Electrónica. En el 2012 se lanzo la actual versió
método y la abundante información que existe, no solamente de la metodología , sino también por de eje

En la dirección oficial del sitio se pueden encontrar 3 libros:

Libro I : Método.
Libro II: Catálogo de Elementos.
Libro III: : Guía de Técnicas.
El método de Análisis de riesgos consiste en varias fases que son:

1. Determinar los activos.

2. Determinar las amenazas.
3. Determinar las salvaguardas (o Controles de seguridad) Implantados.
4. Estimar el impacto.
5. Estimar el riesgo.

Para la primera fase, en el segundo libro se ofrece un listado de los activos de información por categoría

El objetivo de la metodología es conocer los riesgos para minimizarlos o si fuera posible eliminarlos, me
En la Gestión de Riegos, se destaca un estudio de costo - beneficio, ya que el valor de los costos de los c
valor de la información que se quiere proteger. Con respecto a la administración de los riesgos se tienen

 Eliminación
 Mitigación
 Compartición
 Financiación