Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Evaluacion de Riesgo

    Cargado por

    Rosanna
    11 vistas4 páginas

    Título original

    Evaluacion de riesgo

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    11 vistas4 páginas

    Evaluacion de Riesgo

    Cargado por

    Rosanna

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 4

    Tabla o Cuadro de Tratamiento de Riesgos

    Cada estudiante debe tener en cuenta el resultado de la matriz de riesgos del


    proceso trabajado, y debe determinar el tratamiento de los riesgos (aceptarlo,
    transferirlo, ejercer controles). Para el ejemplo, se parte de una matriz de riesgos
    del proceso evaluado y proceder de la siguiente manera:
    Resultado Matriz de riesgos para hardware

    R4 R1
    Alto
    61-100%
    PROBABILIDAD

    Medio R7 R2, R5 R9
    31-60%

    Bajo R3, R8 R6
    0-30%
    Leve Moderado Catastrófico

    IMPACTO

    El tratamiento de los riesgos hace referencia a la acción que se deberá ejecutar de


    acuerdo con el nivel de probabilidad y ocurrencia de los riesgos encontrados, en
    este sentido, los riesgos pueden tratarse de acuerdo con estas 4 posibilidades: ser
    aceptados o transferidos o eliminados o reducidos mediante controles.

    NIVEL DE RIESGO TRATAMIENTO DEL RIESGO


    Aceptable Finaliza el proceso.
    Una de las tres opciones:
    Tolerable
    a. Se transfiere el riesgo a terceros o empresas externas.
    Intolerable b. Se evita el riesgo retirando el activo de información.
    Extremo c. Se reduce o mitiga el riesgo por medio de controles.

    Para los riesgos que se encuentran en color verde (debajo de la diagonal) en la


    matriz de riesgos resultante del proceso de análisis y evaluación de riesgos, de
    acuerdo con el gráfico son de baja probabilidad e impacto leve, y no causan
    mayores daños a la organización generalmente se aceptan, lo que significa que
    no se ejerce ningún tipo de control y se convive con ellos. En este caso el proceso
    de tratamiento de riesgos termina.
    Para los riesgos que están en color amarillo (diagonal) y los riesgos que están en
    color naranja o rojo (encima de la diagonal) cuya probabilidad es media o alta y el
    impacto es moderado o catastrófico el tratamiento de los riesgos puede ser:
    Transferir el riesgo a terceros que son empresas externas que ofrezcan un servicio
    y sean especialistas en su campo (servicio internet, servicio de outsourcing,
    servicios de mantenimiento, servicio de servidores en la nube, seguridad
    informática, entre otros. Eliminar el riesgo quitando el activo informático donde se
    presenta ese riesgo (quitar personal de mantenimiento y contratar externos, quitar
    servidores locales y contratar servidores web o en la nube). Ejercer controles
    (teniendo en cuenta la causa que origina el riesgo e implementando controles para
    mitigarlo.
    Aceptarlo significa convivir con el riesgo, transferirlo significa que otra empresa o
    personal especializado se haga cargo de esos riesgos que se presentan en algunos
    servicios o activos y la empresa pagará por ese servicio, eliminarlo significa que
    existe la posibilidad de eliminar el activo donde se presentan los riesgos y ejercer
    control significa que debo definir controles para esos riesgos.
    Por ejemplo: Para un Servidor A que tenga alta probabilidad e impacto de ocurrencia
    en la matriz de riesgos, es necesario definir el tratamiento a seguir: Primero se
    descarta la opción de evitar el riesgo eliminando el servidor local, ya que este es un
    activo de Muy Alto valor y el retiro de este no permitiría la prestación de muchos
    servicios fundamentales para la organización. La opción de transferir el riesgo
    podría hacerse de dos maneras, la una por medio de la adquisición de un seguro
    tampoco es la adecuada, puesto que los costos de las pólizas en la mayoría de los
    casos son muy elevados y la institución no cuenta con los recursos necesarios para
    adquirirlos y la segunda que es contratar los servicios en la nube de esta manera
    transfiero los riesgos de seguridad y administración del servidor a la empresa
    externa que se contrate. Y la otra opción es definir nuevos controles de tipo
    preventivo y/o correctivo que hagan posible la mitigación de los riesgos lo que
    minimiza el impacto de los riesgos y la probabilidad de ocurrencia de los mismos,
    de esta manera si los riesgos asociados al servidor están en color naranja o rojo
    con la aplicación de los controles pasará a color verde y de esa manera puedo
    aceptar ese riesgo que paso a un bajo nivel de impacto y disminuyó el número de
    incidentes en el servidor A.
    A continuación, se muestra dos posibles diseños del cuadro de tratamiento de
    riesgos:
    Tabla de tratamiento de riesgos encontrados en cada proceso
    Diseño 1:
    ID. Descripción Riesgo Tratamiento Riesgo
    Riesgo
    R1 Uso inadecuado de los reguladores y falta Controlarlo
    de mantenimiento de estos
    R2 No existe sistema de protección contra Transferirlo
    cortocircuitos y caídas de energía.
    R3 Recarga defectuosa del tóner de la Aceptarlo
    impresora láser
    R4 No existe políticas de administración y Controlarlo
    respaldo de almacenamiento de la
    información
    R5 No existe control ni restricciones para el Controlarlo
    manejo de la información.
    R6 No se cuenta con privacidad suficiente en Aceptarlo
    los sitios de trabajo
    R7 No hay Etiquetas de identificación y Aceptarlo
    control de puntos de red
    R8 Los Patch cord de modem a switch son Aceptarlo
    categoría 5 mientras la mayoría del
    cableado es categoría 5e y 6.
    R9 No se cuenta con planes de contingencia Controlarlo
    en caso de una catástrofe o siniestro para
    salvaguardar la infraestructura.

    Diseño 2:
    ID. Descripción Riesgo Tratamiento Riesgo
    Riesgo Aceptarlo Transferirlo Eliminarlo Controlarlo
    R1 Uso inadecuado de xxxxx
    los reguladores y
    falta de
    mantenimiento de
    estos
    R2 No existe sistema de xxxxx
    protección contra
    cortocircuitos y
    caídas de energía.
    R3 Recarga defectuosa xxxxxx
    del tóner de la
    impresora láser
    R4 No existe políticas de xxxxxx
    administración y
    respaldo de
    almacenamiento de
    la información
    R5 No existe control ni xxxxx
    restricciones para el
    manejo de la
    información.
    R6 No se cuenta con xxxxxx
    privacidad suficiente
    en los sitios de
    trabajo
    R7 No hay Etiquetas de xxxxxx
    identificación y
    control de puntos de
    red
    R8 Los Patch cord de xxxxxx
    modem a switch son
    categoría 5 mientras
    la mayoría del
    cableado es
    categoría 5e y 6.
    R9 No se cuenta con xxxxxxx
    planes de
    contingencia en caso
    de una catástrofe o
    siniestro para
    salvaguardar la
    infraestructura.

    De acuerdo con los resultados anteriores, y para los riesgos que se deban controlar,
    se definirá posteriormente los controles que se hagan necesarios para reducir el
    impacto que causan y la probabilidad de ocurrencia en un periodo de tiempo. Los
    riesgos cuyo tratamiento sea controlarse, inicialmente se hace la búsqueda del
    origen del riesgo, ya que los controles deben atacar la causa que origina el
    problema.

    También podría gustarte