Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ANALISIS DE RIESGOS
1 ANALISIS DE RIESGOS
Existen muchas definiciones de riesgo, lo que quiere decir que riesgo significa cosas
distintas para diferentes personas. Tal vez una de las definiciones de riesgo más sucintas
usadas en el negocio de seguridad de la información es la provista por las Directrices
para la Administración de Seguridad de TI publicadas por la Organización Internacional
de Estandarización ISO):
"El potencial de que una amenaza determinada explote las vulnerabilidades de un activo
(G3) o grupo de activos ocasionando pérdida o daño a la organización. (ISO/IEC PDTR
13335-1).
El proceso de evaluación del riesgo se caracteriza como un ciclo de vida iterativo que
comienza identificando los objetivos del negocio, los activos de información y los
sistemas o recursos de información subyacentes que generan, almacenan, usan o
manipulan los activos clave (hardware, software, bases de datos, redes, instalaciones,
personas, etc.) para lograr estos objetivos. El mayor grado de esfuerzo de administración
de riesgos puede entonces estar dirigido a los que se consideran más sensitivos o críticos
para la organización. Una vez que los activos de información sensitiva y/o crítica están
identificados, se realiza una evaluación de riesgos para identificar las amenazas,
determinar la probabilidad de ocurrencia y el impacto resultante y las medidas
adicionales, que mitigarían este impacto a un nivel aceptable para la gerencia.
Luego, durante la tase de mitigación de riesgos, se identifican los controles para mitigar
los riesgos identificados. Estos controles son contramedidas para la mitigación de riesgos
que buscan prevenir o reducir la probabilidad de ocurrencia de un evento de riesgo,
detectar la ocurrencia del mismo, minimizar el impacto o transferir el riesgo a otra
organización.
La evaluación de contramedidas deberla realizarse mediante un análisis costo - beneficio,
en el que los controles para mitigar riesgos se seleccionan de manera que se logre reducir
los riesgos hasta un nivel aceptable para la dirección. Este proceso de análisis puede
basarse en cualquiera de las siguientes opciones:
La fase final se relaciona con el monitoreo de los niveles de desempeño de los riesgos
administrados cuando se presenten cambios significativos en el entorno, que iniciarían
una reevaluación de riesgos, resultando en cambios a su ambiente de control. Ello abarca
tres procesos — evaluación de riesgos, mitigación de riesgos y reevaluación de riesgos-
para determinar si los riesgos se están mitigando hasta un nivel aceptable para la gerencia.
Debe notar que, para ser efectiva, la evaluación del riesgo debe ser un proceso continuo
en una organización que se esfuerza por identificar y evaluar constantemente los riesgos
a medida que éstos surgen y evolucionan.