Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Concepto de Riesgo
• Según ISO
• Según NIST
• El riesgo es una medida del nivel de exposición de una entidad, a amenazas que
pueden aprovechar determinadas circunstancias o eventos, y generar un cierto
detrimento o daño.
• Los modelos de riesgo definen los factores a evaluar y las relaciones entre
esos factores.
• Los factores de riesgo son características que se utilizan como entradas
para determinar los niveles de riesgo, los más típicos son:
• Amenaza
• Vulnerabilidad.
• Impacto.
• Probabilidad.
Conceptos de Vulnerabilidad
• Una amenaza es cualquier circunstancia o evento que pueda tener un impacto adverso en las
operaciones y activos, o individuos de una organización (acceso no autorizado, destrucción,
divulgación o modificación de información, denegación de servicio, otros).
• Los eventos de amenaza son causados por ciertas fuentes que se caracterizan por:
• Riesgo.
• Corresponde al conjunto de situación potenciales que pueden provocar daño, interrupción,
alteración o fallas en la infraestructura tecnológica (hardware, software, sistemas, aplicaciones,
redes) y en cualquier punto que participe en la distribución de Información en la organización.
• Gestión
• Definición de apetito y tolerancia al riesgo, (Alta Dirección).
• Identificación de escenarios de riesgo en función de objetivos de la organización.
• Inclusión de riesgos TI en la gestión global de riesgos.
• Utilización de guías, buenas prácticas, estándares.
• Características
• Toda organización posee riesgos, son inherentes.
• Se miden y priorizan por el impacto económico (y a veces reputacional) que provocan una vez que
se han verificado.
• La gestión de un riesgo se realiza siempre que agregue valor a la organización (cuando el costo de
su gestión no supere el impacto sobre la organización)
Gestión del Riesgo
• Objetivos organizacionales.
• Recursos humanos.
• Herramientas para el manejo de procesos TI.
• Complejidad de los procesos TI y de las aplicaciones.
• Documentación de los procesos TI y de las aplicaciones.
• Nivel de supervisión de los procesos y prácticas TI.
• Control de los procesos TI y de las aplicaciones.
• Efecto en clientes y usuarios.
Identificación
Zona
Intermedia
Zona de Zona de
Aversión Tolerancia
Ejemplo de Informe de Riesgos
Matriz de Riesgo : Probabilidad v/s Impacto
10 11
7 1 13
2 9 6 14 12
5 8 4