0 calificaciones0% encontró este documento útil (0 votos)
9 vistas8 páginas
La gestión de riesgos es un pilar clave de la seguridad de la información. Involucra identificar activos valiosos y amenazas, analizar riesgos mediante evaluación de probabilidad e impacto, y tratar riesgos mediante mitigación, transferencia, aceptación o eliminación. El objetivo es mitigar amenazas implementando controles de seguridad y aceptando el riesgo residual.
La gestión de riesgos es un pilar clave de la seguridad de la información. Involucra identificar activos valiosos y amenazas, analizar riesgos mediante evaluación de probabilidad e impacto, y tratar riesgos mediante mitigación, transferencia, aceptación o eliminación. El objetivo es mitigar amenazas implementando controles de seguridad y aceptando el riesgo residual.
La gestión de riesgos es un pilar clave de la seguridad de la información. Involucra identificar activos valiosos y amenazas, analizar riesgos mediante evaluación de probabilidad e impacto, y tratar riesgos mediante mitigación, transferencia, aceptación o eliminación. El objetivo es mitigar amenazas implementando controles de seguridad y aceptando el riesgo residual.
• Uno de los pilares de la gestión de la seguridad de la información se
encuentra en la gestión de riesgos, que, del mismo modo, también se trata de unas de las actividades básicas que son establecidas en los estándares de seguridad. • De este modo, una cantidad importante de esfuerzos enfocados en la protección de la información, los activos y el negocio deriva de los resultados obtenidos de la valoración y priorización que se realiza a los riesgos de seguridad. Estos son, en gran medida, utilizados para la toma de decisiones. • Generalmente, los riesgos se expresan en términos de la combinación de la posibilidad de ocurrencia de un evento no deseado (probabilidad) y sus consecuencias (impacto), por lo que las medidas de seguridad están orientadas a reducir alguna de estas dos variables, o en el mejor de los casos a ambas. • la gestión involucra actividades que permiten dirigir, controlar, medir y continuamente mejorar la organización a través de las estructuras apropiadas. En términos de seguridad, la gestión consiste en la supervisión y toma de decisiones orientadas a lograr los objetivos de la empresa en materia de seguridad de la información. • En el ámbito de los riesgos, se tiene como propósito principal mitigar la materialización de amenazas, y para ello se realizan distintas actividades y fases (valoración, tratamiento y aceptación de los mismos). Si representamos gráficamente estas actividades y fases, podemos observarlas de la siguiente manera: • De acuerdo con las actividades: • la identificación pretende conocer los activos más importantes para una organización junto con las amenazas que podrían afectarlos. • Posteriormente, el análisis de los riesgos permite caracterizar cada uno de ellos para luego ser evaluados de forma en función de los criterios. Todo esto se considera dentro de la fase de valoración. • Una vez que los riesgos han sido evaluados y priorizados (valorados en su conjunto), la siguiente fase tiene como propósito llevar a cabo alguna actividad para su tratamiento: mitigar, eliminar, transferir o aceptar. Esta etapa tiene como objetivo la definición de las acciones a realizar con relación a los riesgos y la aplicación de controles de seguridad. • Mitigar. Consiste en implementar algún control que reduzca el riesgo. • Transferir. Ocurre cuando se delega la acción de mitigación a un tercero. • Aceptar. Se presenta cuando el impacto es suficientemente bajo para que la organización decida no tomar ninguna acción de mitigación o cuando el costo de la aplicación de un control supera el valor del activo • La eliminación es una actividad ideal, ya que difícilmente se puede reducir a cero un riesgo y generalmente se presenta cuando el activo en cuestión deja de tener valor, por lo que los riesgos asociados pueden ser descartados. • Cuando se ha definido una acción para cada riesgo valorado, es necesario que los resultados sean aceptados y las medidas de seguridad aplicadas. Esto se vuelve necesario ya que, al aplicar una contramedida o control, todavía se cuenta con un riesgo denominado residual, es decir, un remanente que debe ser aprobado