Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMACIÓN
Para realizar esta evaluación es importante analizar los siguientes cuatro aspectos:
Las amenazas son agentes (elementos o acciones) capaces de atentar contra la seguridad de la
información y, como consecuencia de ello, causar pérdidas o daños a los activos de una empresa.
Estas amenazas surgen a partir de la existencia de vulnerabilidades, es decir que una amenaza sólo
puede existir si existe una vulnerabilidad que pueda ser aprovechada, e independientemente de
que se comprometa o no la seguridad de un sistema de información.
Las amenazas Intencionales, son aquellas en las que deliberadamente se intente producir un daño
(por ejemplo el robo de información aplicando la técnica de trashing)
Las amenazas No intencionales, en las cuales se producen acciones u omisiones de acciones que si
bien no buscan explotar una vulnerabilidad, ponen en riesgo los activos de información y pueden
producir un daño (por ejemplo las amenazas relacionadas con fenómenos naturales).
La presencia de una amenaza es una advertencia de que puede ser inminente el daño a algún
activo de la información, o bien es un indicador de que el daño se está produciendo o ya se ha
producido. Por ello siempre debe ser reportada como un incidente de seguridad de la información.
Este análisis se debe realizar periódicamente debido a que los activos están constantemente
sometidos a amenazas que pueden poner en riesgo la integridad, confidencialidad y disponibilidad
de la información.
Los factores de vulnerabilidad son puntos de vista desde los cuales se analizan las amenazas. Están
en constante interacción y son dinámicos debido a que la misma realidad en la que se presentan lo
es.
Para definir la respuesta indicada para cada incidente se deben priorizar de acuerdo a su impacto y
urgencia. El Impacto es el daño causado al negocio (en términos económicos, imagen, etc.) y la
Urgencia es la rapidez con la cual la organización necesita corregir el incidente.
Esta evaluación de riesgos permite que el gasto en controles de seguridad pertinentes sea
proporcional al impacto calculado para el negocio y basado en la percepción de probabilidad de
que el riesgo se materialice.