ANALISIS DE RIESGOS

El riesgo es la posibilidad de que ocurra algn evento negativo para las personas y/o empresas. Los
equipos de cmputo que habitualmente se utilizan en las empresas estn sujetos al riesgo de que
ocurra alguna eventualidad que los dae y debido a que no existe una seguridad total y las medidas
de seguridad no pueden asegurar al 100% la proteccin en contra de las vulnerabilidades

El anlisis de riegos proporciona herramientas tiles para cuantificar el riesgo y evaluar si este
anlisis es adecuado, tomar medidas para reducirlo, adems intenta mantener un balance
econmico entre el impacto de los riesgos y el costo de las soluciones de un programa efectivo de
seguridad destinadas a manejarlos.

tipos esenciales del anlisis del
riesgo
Todos los activos, sus recursos y los controles se
identifican, y se evalan en trminos monetarios. Todas
las amenazas potenciales se identifican y se estima la
frecuencia de su ocurrencia
Posteriormente el anlisis cuantitativo del riesgo hace
uso del trmino Expectativa de Prdida Anual (ALE) o
Costo Anual Estimado (EAC), el cual es calculado para
cierto acontecimiento
De esta forma se puede decidir si los controles
existentes son adecuados o si se requiere la
implementacin de otros, esto se observa cuando el
producto obtenido tras multiplicar el valor del activo por
la frecuencia de la ocurrencia de la amenaza en un
perodo de tiempo determinado por la duracin del
control es menor que el costo de dicho control.
Los problemas con este tipo de anlisis de riesgo se
asocian generalmente a la falta de fiabilidad y a la
inexactitud de los datos y algunas veces puede
interpretarse errneamente los resultados.


En lugar de establecer valores exactos sedan
notaciones como alto, bajo, medio que representan
la frecuencia de ocurrencia y el valor de los activos.
La desventaja es que pueden existir reas
significativamente expuestas que no hayan sido
identificadas como posibles fuentes de riesgo.


. Anlisis cuantitativo del riesgo
. Anlisis cualitativo del riesgo
Ambos tipos de anlisis del riesgo hacen uso de los siguientes
elementos interrelacionados

Amenazas: las amenazas estn siempre presentes en cada sistema.
Vulnerabilidades: las vulnerabilidades permiten que un sistema sea ms propenso a ser
atacado por una amenaza o que un ataque tenga mayor probabilidad de tener xito o
impacto.
Controles: son las medidas contra las vulnerabilidades. Existen cuatro tipos:
Los controles disuasivos reducen la probabilidad de un ataque deliberado.
Los controles preventivos protegen vulnerabilidades y hacen que un ataque fracase o
reduzca su impacto.
Los controles correctivos reduce el efecto de un taque.
Los controles detectores descubren ataques y disparan controles preventivos o
correctivos.

Cmo establecer los requerimientos y riesgos de seguridad

Existen tres fuentes principales que deben considerarse para que una
organizacin identifique sus requerimientos de seguridad:

La primera fuente se deriva de determinar los riesgos de la organizacin. A travs de la
evaluacin del riesgo se identifican las amenazas a los activos y la vulnerabilidad de stos,
tambin se evala la probabilidad de ocurrencia y se estima el potencial de impacto.

La segunda fuente se refiere a los requerimientos legales, regulatorios, contractuales y
establecidos que una organizacin, sus socios comerciales y proveedores de servicio tienen que
satisfacer.

La tercera fuente es el conjunto particular de principios, objetivos y requerimientos para el
procesamiento de la informacin que una organizacin ha desarrollado para mantener sus
operaciones.

Los requerimientos de seguridad son identificados mediante una evaluacin metdica de riesgos
de seguridad. Las tcnicas de evaluacin de riesgo pueden ser aplicadas a toda la organizacin,
o slo en algunas partes, como en los sistemas individuales de informacin, componentes
especficos del sistema o servicios donde esto es factible, realista y til.