520016 LOU 6s y por qué hacer un Anisis de Riesges?
Nuestro sto usa cookies, yal continuar navegando en dl esids accediendo a nuestro uso de las mismas.
Para mas detalles sobre cookies y cémo admnistrarlas, vista nuestra Politica de Cool
welivesecurity”™”
Noticias, opiniones y andiisis de Ia comunidad de seguridad de ESET
éQué es y por qué hacer un Analisis de
Riesgos?
POR CAMILO GUTIERREZ AMAYA PUBLICADO 16 AGO 2012 - 01:04PM
Como parte del Sistema de Gestién de Seguridad de la Informacién, es necesario para
la empresa hacer una adecuada gestién de riesgos que le permita saber cuales son las
principales vulnerabilidades de sus activos de informacién y cudles son las amenazas que
podrian explotar las vulnerabildades. En la medida que la empresa tenga clara esta
identificacién de riesgos podra establecer las medidas preventivas y correctivas viables
que garanticen mayores niveles de seguridad en su informacién
‘Son muchas las metodologias utilizadas para la gestién de riesgos, pero todas parten
de un punto comin: la identificacién de activos de informacién, es decir todos aquellos
recursos involucrados en la gestién de la informacién, que va desde datos y hardware
hasta documentos escritos y el recurso humano, Sobre estos activos de informacién es
que hace la identificacién de las amenazas o riesgos y las vulnerabilidades
Una amenaza se puede definir entonces como un evento que puede afectar los activos
de informacién y estan relacionadas con el recurso humano, eventos naturales o fallas
técnicas. Algunos ejemplos pueden ser ataques informaticos externos, errores u
omisiones del personal de la empresa, infecciones con malware, terremotos, tormentas
eléctricas 0 sobrecargas en el fluido eléctrico
Por otra parte, una vulnerabilidad es una caracteristica de un activo de informacién y que
representa un riesgo para la seguridad de la informacién. Cuando se materializa una
amenaza y hay una vulnerabilidad que pueda ser aprovechada hay una exposicién a que
se presente algin tipo de pérdida para la empresa. Por ejemplo el hecho de tener
contrasefias débiles en los sistemas y que la red de datos no esté correctamente
protegida puede ser aprovechado para los ataques
ipdhwww welivesecurty com/a-es/201208len-que-consste-analiss-riesgos! 48ss20016
ipshwwrw weliveseerity coma-es
{L008 6 y por qué hacer un Andis de Riesgo5?
Ahora, para que la empresa pueda tomar decisiones sobre cémo actuar ante los diferentes
riesgos es necesario hacer una valoracién para determinar cudles son los més criticos
para la empresa. Esta valoracién suele hacerse en términos de la posibilidad de
ocurrencia del riesgo y del impacto que tenga la materializacién del riesgo. La valoracién
del impacto puede medirse en funcién de varios factores: la pérdida econémica si es
posible cuantificar la cantidad de dinero que se pierde, la reputacién de la empresa
dependiendo si el riesgo pueda afectar la imagen de la empresa en el mercado o de
acuerdo al nivel de afectacién por la pérdida o dafio de la informacién.
En este punto se deberian tener identificados y valorados los principales riesgos que
pueden afectar los activos de informacién de la empresa. Pero, ges suficiente con saber
qué puede pasar? La respuesta es no. Una vez identificadas las amenazas, lo mas
importante del andlisis de riesgos es la identificacién de controles ya sea para mitigar la
posibilidad de oourrencia de la amenaza o para mitigar su impacto. Las medidas de control
que puede asumir una empresa van a estar relacionadas con el tipo de amenaza y el nivel
de exposicién que represente para la informacién corporativa.
Una empresa puede afrontar un riesgo de cuatro formas diferentes: aceptarlo, transferirlo,
mitigarlo 0 evitarlo. Si un riesgo no es lo suficientemente critico para la empresa la medida
de control puede ser Aceptarlo, es decir, ser consciente de que el riesgo existe y hacer un
monitoreo sobre él. Si el riesgo representa una amenaza importante para la seguridad de
la informacién se puede tomar la decisién de Transferir o Mitigar el riesgo.
La primera opcién esté relacionada con tomar algin tipo de seguro que reduzca el monto
de una eventual pérdida, y la segunda tiene que ver con la implementacién de medidas
preventivas 0 correctivas para reducir la posibilidad de ocurrencia 0 el impacto del riesgo.
Finalmente, si el nivel de riesgo es demasiado alto para que la empresa lo asuma, puede
optar por Evitar el riesgo, eliminando los activos de informacién o la actividad asociada.
La gestién de riesgos debe garantizarle a la empresa la tranquilidad de tener identificados
sus riesgos y los controles que le van a permitir actuar ante una eventual materializacién 0
simplemente evitar que se presenten. Esta gestién debe mantener el equilibrio entre el
costo que tiene una actividad de control, la importancia del activo de informacién para los
procesos de la empresa y el nivel de criticidad del riesgo.
‘Siyuepiosian estos 8 pasos para hacer una evaluacién de riesgos.
Suseribete a nuestro bel
Recibe las ultimas noticias directamente en tu bandeja de entrada
Correo electrénico.
31208 1aler-que-consiste-analiss-resgos!ss20016 LOU 68 y por qué hacer un Anisis de Riesgos?
Enviar
Ultimos Cursos
nn de ESET SECURE BUSINESS
‘Seguridad en redes - Instructores |AC
‘Seguridad en Redes
‘Seguridad para Reparadores de PC - Instructores IAC
ipdhwww weliveseurty coma-es/201208len-que-consste-analisis-riesgos!