Cuadro 1.

Metodologa para el anlisis de riesgos

Metodologa para el anlisis de riesgos

Entrevistas: mediante este tipo de aproximacin a la organizacin, se busca entenderlos diferentes aspectos que la conforman, tanto en el aspecto tecnolgico como en los procesos crticos, los cuales, a su vez, son soportados por las aplicaciones y la infraestructura tecnolgica. Evaluacin de riesgo: la evaluacin de riesgos identifica las amenazas, vulnerabilidades y riesgos de la informacin sobre la plataforma tecnolgica de una organizacin con el fin de generar un plan de implementacin de los controles que aseguren un ambiente seguro, bajo los criterios de disponibilidad, confidencialidad e integridad de la informacin. Los dos puntos importantes a considerar son: la probabilidad de una amenaza y la magnitud del impacto sobre el sistema si sta llega a materializarse. Determinacin de la probabilidad: con el fin de derivar una probabilidad o una estimacin de la ocurrencia de un evento, se deben tener en cuenta dos factores: fuente de la amenaza y capacidad y naturaleza de la vulnerabilidad. Magnitud del impacto: determina el impacto adverso para la organizacin como resultado de la explotacin por parte de una amenaza de una determinada vulnerabilidad; para ello se deben considerar los siguientes aspectos: consecuencias de tipo financiero, es decir, prdidas causadas sobre un activo fsico o lgico determinado y consecuencias provocadas por la inoperatividad del activo afectado, la criticidad de los datos y el sistema (importancia a la organizacin) y la sensibilidad de los datos y el sistema. Identificacin de controles: se evala la matriz de riesgo obtenida previamente con el fin de identificar los controles que mitiguen los riesgos detectados.