Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ir a la navegaciónIr a la búsqueda
El análisis de riesgos informáticos es un proceso que comprende la identificación de
activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así
como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los
controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o
administrativas a una empresa u organización, se tiene la necesidad de poder estimar la
magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de
controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto
formando una arquitectura de seguridad con la finalidad de preservar las propiedades de
confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.
Índice
1Introducción
2Proceso de análisis de riesgos informáticos
3Consideraciones
4Elementos relacionados
5Herramientas de apoyo
6Regulaciones y normas que tratan el riesgo
7Metodologías de análisis de riesgos
8Herramientas comerciales
9Véase también
10Referencias
o 10.1Bibliografía
Introducción[editar]
Los riesgos de seguridad de información deben ser considerados en el contexto del negocio, y
las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo,
producción, operaciones, administración, TI, finanzas, etcétera y los clientes deben ser
identificados para lograr una imagen global y completa de estos riesgos.
Cada organización tiene una misión. En esta era digital, las organizaciones que utilizan
sistemas tecnológicos para automatizar sus procesos o información deben de ser conscientes
de que la administración del riesgo informático juega un rol crítico.
La meta principal de la administración del riesgo informático debería ser “proteger a la
organización y su habilidad de manejar su misión” no solamente la protección de los
elementos informáticos. Además, el proceso no solo debe de ser tratado como una función
técnica generada por los expertos en tecnología que operan y administran los sistemas, sino
como una función esencial de administración por parte de toda la organización.
Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad,
considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a
grandes rasgos que la administración de riesgos es el proceso de identificación, evaluación y
toma de decisiones para reducir el riesgo a un nivel aceptable.
El análisis de riesgo informático es un elemento que forma parte del programa de gestión de
continuidad de negocio (Business Continuity Management)
En el análisis de riesgo informático es necesario identificar si existen controles que ayudan a
minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir,
la vulnerabilidad será de riesgo no controlado.
Dentro de la evaluación del riesgo es necesario realizar las siguientes acciones: Calcular el
impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el
riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de
forma cuantitativa (asignando pesos) o de forma cualitativa (matriz de riesgos)
Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo.
Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a
un tercero.
Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto
se acepta.
Consideraciones[editar]
No se olvide que en las empresas la seguridad comienza por dentro. Capacitando al personal,
creando normas basadas en estándares, analizando brechas y puntos ciegos en la seguridad
lógica y en la seguridad de sistemas de información.
Es fundamental la creación de escenarios de conflicto en forma continua participando la
gerencia de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden
lograrse medidas para evitar eventos de seguridad.
Elementos relacionados[editar]
Activo. Es un objeto o recurso de valor empleado en una empresa u organización
Análisis. Examinar o descomponer un todo detallando cada uno de los elementos que
lo forman a fin de terminar la relación entre sus principios y elementos.
Herramientas de apoyo[editar]
Existen varias herramientas en el mercado con las que se puede uno apoyar a la hora de
evaluar los riesgos, principalmente en el proceso de evaluación de los mismos. Una vez
terminado este proceso se debe documentar toda la información recabada para su análisis
posterior. La herramienta que debemos seleccionar debe contener al menos un módulo de
recolección de datos, de análisis de los mismos y otro de reportes. La importancia de un buen
análisis y una buena presentación de los datos analizados nos llevarán a una efectiva
interpretación de la situación actual de los riesgos y por ende, la selección de los controles
que debemos implementar será la más acertada en el proceso de selección, ahorrando costos
en productos y costos de operación además del ahorro de tiempo.
Herramientas comerciales[editar]
GxSGSI: Herramienta de Análisis y Gestión de Riesgo basada en Magerit
y homologada por la Agencia Europea de Seguridad de la Información (ENISA).1
R-Box: Solución para la Gestión de la Seguridad de la Información y cumplimiento de
estándares. Módulo de Análisis y Gestión de Riesgo.2
Focal Point: plataforma para la gestión de riesgo tecnológico y operacional. Soporta
directrices regulatorias como MAAGTICSI, ISO 27001:2013, entre
otras. https://web.archive.org/web/20161009155348/http://aluxit.com/soluciones.html
SECITOR: Herramienta de Análisis y Gestión de Riesgos de alto nivel que permite la
gestión integral de la Seguridad de la Información siendo un sistema multimarco (ISO
27001, Protección de datos, ENS, ISO 19001, etc), además de una monitorización en
tiempo real de la seguridad de la organización. http://www.secitor.com/
Véase también[editar]
Seguridad informática
Referencias[editar]
1. ↑ GxSGSI Archivado el 19 de diciembre de 2014 en la Wayback Machine.
2. ↑ R-Box
Bibliografía[editar]
Information security management systems (2006). «Part 3: Guidelines for information
security risk management» (en inglés).