520016 LOU 6s y por qué hacer un Anisis de Riesges? Nuestro sto usa cookies, yal continuar navegando en dl esids accediendo a nuestro uso de las mismas. Para mas detalles sobre cookies y cémo admnistrarlas, vista nuestra Politica de Cool welivesecurity”™” Noticias, opiniones y andiisis de Ia comunidad de seguridad de ESET éQué es y por qué hacer un Analisis de Riesgos? POR CAMILO GUTIERREZ AMAYA PUBLICADO 16 AGO 2012 - 01:04PM Como parte del Sistema de Gestién de Seguridad de la Informacién, es necesario para la empresa hacer una adecuada gestién de riesgos que le permita saber cuales son las principales vulnerabilidades de sus activos de informacién y cudles son las amenazas que podrian explotar las vulnerabildades. En la medida que la empresa tenga clara esta identificacién de riesgos podra establecer las medidas preventivas y correctivas viables que garanticen mayores niveles de seguridad en su informacién ‘Son muchas las metodologias utilizadas para la gestién de riesgos, pero todas parten de un punto comin: la identificacién de activos de informacién, es decir todos aquellos recursos involucrados en la gestién de la informacién, que va desde datos y hardware hasta documentos escritos y el recurso humano, Sobre estos activos de informacién es que hace la identificacién de las amenazas o riesgos y las vulnerabilidades Una amenaza se puede definir entonces como un evento que puede afectar los activos de informacién y estan relacionadas con el recurso humano, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser ataques informaticos externos, errores u omisiones del personal de la empresa, infecciones con malware, terremotos, tormentas eléctricas 0 sobrecargas en el fluido eléctrico Por otra parte, una vulnerabilidad es una caracteristica de un activo de informacién y que representa un riesgo para la seguridad de la informacién. Cuando se materializa una amenaza y hay una vulnerabilidad que pueda ser aprovechada hay una exposicién a que se presente algin tipo de pérdida para la empresa. Por ejemplo el hecho de tener contrasefias débiles en los sistemas y que la red de datos no esté correctamente protegida puede ser aprovechado para los ataques ipdhwww welivesecurty com/a-es/201208len-que-consste-analiss-riesgos! 48ss20016 ipshwwrw weliveseerity coma-es {L008 6 y por qué hacer un Andis de Riesgo5? Ahora, para que la empresa pueda tomar decisiones sobre cémo actuar ante los diferentes riesgos es necesario hacer una valoracién para determinar cudles son los més criticos para la empresa. Esta valoracién suele hacerse en términos de la posibilidad de ocurrencia del riesgo y del impacto que tenga la materializacién del riesgo. La valoracién del impacto puede medirse en funcién de varios factores: la pérdida econémica si es posible cuantificar la cantidad de dinero que se pierde, la reputacién de la empresa dependiendo si el riesgo pueda afectar la imagen de la empresa en el mercado o de acuerdo al nivel de afectacién por la pérdida o dafio de la informacién. En este punto se deberian tener identificados y valorados los principales riesgos que pueden afectar los activos de informacién de la empresa. Pero, ges suficiente con saber qué puede pasar? La respuesta es no. Una vez identificadas las amenazas, lo mas importante del andlisis de riesgos es la identificacién de controles ya sea para mitigar la posibilidad de oourrencia de la amenaza o para mitigar su impacto. Las medidas de control que puede asumir una empresa van a estar relacionadas con el tipo de amenaza y el nivel de exposicién que represente para la informacién corporativa. Una empresa puede afrontar un riesgo de cuatro formas diferentes: aceptarlo, transferirlo, mitigarlo 0 evitarlo. Si un riesgo no es lo suficientemente critico para la empresa la medida de control puede ser Aceptarlo, es decir, ser consciente de que el riesgo existe y hacer un monitoreo sobre él. Si el riesgo representa una amenaza importante para la seguridad de la informacién se puede tomar la decisién de Transferir o Mitigar el riesgo. La primera opcién esté relacionada con tomar algin tipo de seguro que reduzca el monto de una eventual pérdida, y la segunda tiene que ver con la implementacién de medidas preventivas 0 correctivas para reducir la posibilidad de ocurrencia 0 el impacto del riesgo. Finalmente, si el nivel de riesgo es demasiado alto para que la empresa lo asuma, puede optar por Evitar el riesgo, eliminando los activos de informacién o la actividad asociada. La gestién de riesgos debe garantizarle a la empresa la tranquilidad de tener identificados sus riesgos y los controles que le van a permitir actuar ante una eventual materializacién 0 simplemente evitar que se presenten. Esta gestién debe mantener el equilibrio entre el costo que tiene una actividad de control, la importancia del activo de informacién para los procesos de la empresa y el nivel de criticidad del riesgo. ‘Siyuepiosian estos 8 pasos para hacer una evaluacién de riesgos. Suseribete a nuestro bel Recibe las ultimas noticias directamente en tu bandeja de entrada Correo electrénico. 31208 1aler-que-consiste-analiss-resgos!ss20016 LOU 68 y por qué hacer un Anisis de Riesgos? Enviar Ultimos Cursos nn de ESET SECURE BUSINESS ‘Seguridad en redes - Instructores |AC ‘Seguridad en Redes ‘Seguridad para Reparadores de PC - Instructores IAC ipdhwww weliveseurty coma-es/201208len-que-consste-analisis-riesgos!