Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Al riesgo se lo puede definir como la probabilidad de que ocurra un incidente el cual va a generar
un impacto negativo hacia un sistema.
3.- En qué consiste el riesgo inherente y cómo le aplicamos en el análisis de riesgo en seguridad
informática.
Este tipo de riesgo es aquel en el cual no se le ha dado ningun tipo de tratamiento el cual
permitirá reducir su probabilidad de ocurrencia y el impacto que podrá causar en dado caso que
ocurra.
En un hipotético caso de que un activo sea importante y aún no se le haya aplicado ciertas
medidas de seguridad, entregará resultados con alta probabilidad de ocurrencia y gran impacto.
A este activo se le deberá prestar mucha atención si se obtienen los resultados anteriormente
mencionados.
4.- Explique en no menos de 300 palabras en que consiste el análisis del riesgo cuantitativo.
Se puede definir que este tipo de análisis evalúa el efecto de combinado de los riesgos sobre los
resultados de un proyecto, cuyos resultados se basan en datos y estadísticas de acuerdo al
contexto en que se lo requiera aplicar. Se obtienen conclusiones acerca del efecto que el riesgo
va a tener sobre un proyecto. No se puede establecer juicios de valor sobre los riesgos, para
cuantificar el efecto de un riesgo se debe aplicar modelos matemáticos. A diferencia de un
análisis cualitativo, el análisis cuantitativo debe ser realizado por personal calificado ya que
deben tomar en cuenta múltiples parámetros que se deben evaluar.
Así mismo, este análisis apoya a la toma de decisiones. Teniendo en cuenta las decisiones
comerciales críticas, esta herramienta proporciona más datos e información que el análisis
cualitativo. Ayuda a los gerentes de proyectos y dueños de negocios a hacer mejores
estimaciones de costos y duración. Este es un punto importante porque, si las estimaciones no
son correctas, conducirán a decisiones equivocadas.
Este método podría ser aplicado al momento de determinar el riesgo de fuga de información por
parte de los empleados de una organización, se podrían medir aspectos como la criticidad de
información que maneja, inicios de sesión fuera de la jornada laboral, entre otros. De esta forma
si se encuentra una tendencia que podría generar una sospecha se podría definir las respectivas
acciones que se pueden tomar.
Un ejemplo que podría aplicar para el desarrollo de un análisis de riesgos sería el de una empresa
encargada de vender productos por internet. En dicha empresa existen alrededor de 200
empleados, al ser la venta por internet se cuenta con una base de datos con alrededor de 20
millones de registros de datos personales de clientes y posibles clientes.
Para realizar el análisis, primero se identifican y priorizan los activos de la empresa, en este
ejemplo se toma a consideración los equipos de TI, los datos de los clientes, el almacén donde
están los productos y los empleados.
Luego de haber identificado los activos, se procede a definir las posibles amenazas y
vulnerabilidades de cada uno de ellos. Las amenazas pueden ser robo de información o de los
equipos informáticos, un desastre natural como terremotos, incendios o inundaciones que
destruyan todos los artículos almacenados en el almacén y en el caso de los empleados estos
pueden entregar información confidencial de forma no intencional.
Luego como siguiente paso se debería analizar los controles que se están implementando en la
organización, si cuenta con sistemas de detección de intrusos, un seguro que cubra los productos
y equipos en caso de un desastre natural, si se realizan copias de seguridad de la información
entre otros. Consecuentemente se procede a intentar determinar la probabilidad de que un
incidente ocurra, se las clasifica dentro de las siguientes clases: alta, media o baja, aquí se debe
tomar en cuenta el tipo de vulnerabilidad, la motivación de la fuente de la amenaza y si hay
existencia de controles. Finalmente se debe considerar cual podría ser el impacto que podría
tener el incidente en el activo y recomendaralgunos controles para mitigar el riesgo identificado.