SEGURIDAD.

TEMA: Anlisis de Riesgo.

FACILITADOR: RUBEN DARIO SANTANA R.

SUSTENTANTE:

ANGEL R. GARCIA MOQUETE 20101533.











INTRODUCCION.

El primer paso en la Gestin de riesgo es el anlisis de riesgo que tiene como propsito determinar
los componentes de un sistema que requieren proteccin, sus vulnerabilidades que los debilitan y
las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo.

El proceso de anlisis de riesgo genera habitualmente un documento al cual se le conoce como
matriz de riesgo.
En este documento se muestran los elementos identificados, la manera en que se relacionan y los
clculos realizados.
Este anlisis de riesgo es indispensable para lograr una correcta administracin del riesgo. La
administracin del riesgo hace referencia a la gestin de los recursos de la organizacin.















An lisis de Riesgo
Existen varios mtodos de como valorar un riesgo y al final, todos tienen los mismos retos -las
variables son difciles de precisar y en su mayora son estimaciones- y llegan casi a los mismos
resultados y conclusiones.
En el mbito de la Seguridad Informtica, el mtodo ms usado es el Anlisis de Riesgo.
La valoracin del riesgo basada en la frmula matemtica
Riesgo = Probabilidad de Amenaza x Magnitud de Dao
Para la presentacin del resultado (riesgo) se usa una grfica de dos dimensiones, en la cual, el eje-
x (horizontal, abscisa) representa la Probabilidad de Amenaza y el eje-y (vertical, ordenada) la
Magnitud de Dao. La Probabilidad de Amenaza y Magnitud de Dao pueden tomar condiciones
entre Insignificante (1) y Alta (4). En la prctica no es necesario asociar valores aritmticos a las
condiciones de las variables, sin embargo facilita el uso de herramientas tcnicas como hojas de
clculo.
Nota: La escala (4 condiciones) de la Probabilidad de Amenaza y Magnitud de Dao no es fijo y
puede ser adaptada y afinada a las necesidades propias. En diferentes literaturas, particularmente
la Probabilidad de Amenaza puede tomar hasta seis diferentes condiciones.

Como mencion, el reto en la aplicacin del mtodo es precisar o estimar las condiciones (valores)
de las dos variables, porque no basen en parmetros claramente medibles. Sin embargo, el anlisis
de riesgo nos permite ubicar el riesgo y conocer los factores que influyen, negativa- o
positivamente, en el riesgo.
En el proceso de analizar un riesgo tambin es importante de reconocer que cada riesgo tiene sus
caractersticas:
Dinmico y cambiante (Interaccin de Amenazas y Vulnerabilidad)
Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad)
No siempre es percibido de igual manera entre los miembros de una institucin que tal vez
puede terminar en resultados inadecuados y por tanto es importante que participan las
personas especialistas de los diferentes elementos del sistema (Coordinacin,
Administracin financiera, Tcnicos, Conserje, Soporte tcnico externo etc.)
El modelo se pude aplicar a los diferentes elementos de manera aislada, sino tambin al sistema
completo, aunque en el primer caso, el resultado final ser ms preciso pero tambin requiere
ms esfuerzo.
Entre ms alta la Probabilidad de Amenaza y Magnitud de Dao, ms grande es el riesgo y el
peligro al sistema, lo que significa que es necesario implementar medidas de proteccin.
Importnci
Un anlisis de riesgos proporciona a los responsables de la organizacin la informacin sobre la
cual basar sus decisiones.
De igual manera este anlisis es una tarea que se realiza peridicamente con el fin tener al da los
cambios en amenazas, instalaciones, material y dems cambios organizativos.
Como recurso ms importante se requiere de personal altamente cualificado. Por esta razn el
primer anlisis de riesgos para una organizacin ser el ms costoso.
La importancia de un anlisis de riesgos radica principalmente en que el mismo permite la
identificacin de los riesgos a los que est o puede estar expuesta la organizacin identificando
adems sus tipos.
Asimismo permite la estimacin de la probabilidad de ocurrencia de cada riesgo detectado para lo
cual se establecen unos niveles relativos de probabilidad.


Psos o Etps del An lisis de Riesgos
Un anlisis de riesgos est compuesto de tres etapas que a su vez llevan una serie de pasos para el
cumplimiento de las mismas.
Etapa 1
Recopilar informacin: se indaga y se busca informacin acerca de incidentes o accidentes
ocurridos con anterioridad.
Definir el sistema y el entorno: se recogen fichas de seguridad, se describe el proceso del
sistema, esquemas, diagramas de flujo, modos de operacin, etc.
Analizar las caractersticas tcnicas: se realiza un estudio de los esquemas de la organizacin, de
la instalacin de equipos, procedimientos de control y mantenimiento. Nmero de empleados de
la empresa, informacin sobre otras organizaciones cercanas y del mismo entorno comercial.
Etapa 2
Fijar objetivos: se determinan cules son los objetivos que se desean alcanzar durante el
proceso.
Definir lmites de anlisis: aqu estableceremos el alcance del anlisis de riesgos dentro de la
organizacin, el mismo puede hacerse de manera parcial o total.
Descomposicin del sistema: en esta parte se descompondr el sistema en pequeos elementos
de manera que pueda ser ms fcil manejarlos.
Determinacin de mtodos a usar: se especifican los mtodos cualitativos que se utilizaran
teniendo presente que se deben investigar todas las causas de fallo que puedan afectar el estudio.
Establecimiento del modelo de sistema: en esta parte se especificar el modelo de sistema a
utilizar en base a los pasos anteriores, el mismo ser distinto para cada organizacin, o
dependiendo del tipo de actividad que desarrolle la misma.
Etapa 3
En esta ltima etapa se:
Obtienen datos esenciales, que consiste en la recopilacin de los datos necesarios de las
unidades que componen el estudio.
Realiza una evaluacin de parmetros de seguridad, donde se cuantifica la probabilidad de fallo
y la gravedad de dao que se puede producir.
Realizan estudios de sensibilidad
Realiza una Sntesis y obtencin de conclusiones, aqu se sacan a flote los fallos o combinaciones
de fallos que provocan un riesgo dentro del sistema de informacin estudiado, as como los puntos
crticos del mismo.
Probbilidd de Amenz

Se habla de un Ataque, cuando una amenaza se convirti en realidad, es decir cuando un evento
se realiz. Pero el ataque no dice nada sobre el xito del evento y s o no, los datos e
informaciones fueron perjudicado respecto a su confidencialidad, integridad, disponibilidad y
autenticidad.
Para estimar la Probabilidad de Amenaza nos podemos hacer algunas preguntas
Cul es el inters o la atraccin por parte de individuos externos, de atacarnos? Algunas razones
pueden ser que manejamos informacin que contiene novedades o inventos, informacin
comprometedora etc., tal vez tenemos competidores en el trabajo, negocio o simplemente por el
imagen o posicin pblica que tenemos.
Cules son nuestras vulnerabilidades? Es importante considerar todos los grupos de
vulnerabilidades. Tambin se recomienda incluir los expertos, especialistas de las diferentes reas
de trabajo para obtener una imagen ms completa y ms detallada sobre la situacin interna y el
entorno.
Cuntas veces ya han tratado de atacarnos? Ataques pasados nos sirven para identificar una
amenaza y si su ocurrencia es frecuente, ms grande es la probabilidad que pasar otra vez. En el
caso de que ya tenemos implementadas medidas de proteccin es importante llevar un registro,
que muestra los casos cuando la medida se aplic exitosamente y cuando no. Porque de tal
manera, sabemos en primer lugar si todava existe la amenaza y segundo, cul es su riesgo actual.
Considerando todos los puntos anteriores, nos permite clasificar la Probabilidad de Amenaza.
Conclusiones
De acuerdo a todo lo expuesto en este ensayo, no est de ms recordar que ningn activo est
libre de riesgos, los riesgos siempre estarn latentes, y mientras existan activos tambin existir la
posibilidad de existentes riesgos asociados a estos, aunque an no hayan sido completamente
identificados o ms bien no se hayan tomado las medidas necesarias para identificarlos.
No obstante a todas las herramientas existentes para el anlisis, administracin y gestin de
riesgos, la mejor manera de gestionar dichos riesgos, es mantener un conocimiento de lo que
significa e implica la existencia de un riesgo asociado a los activos principales de la organizacin,
para esto se debe realizar una jornada de concienciacin de la importancia de dichos activos y del
impacto que puede ocasionar un riesgo para que de esta manera todos los involucrados en la
organizacin, puedan dar valor a los activos y saber qu hacer en caso de que perciban la aparicin
de un riesgo.
De tal manera podemos resaltar que el tema tratado es de suma importancia por lo que es
imprescindible la buena gestin y administracin de un riesgo informtico.















Bibliogrf
Gestin de Riesgo en la Seguridad Informtica:
http://protejete.wordpress.com/gdr_principal/analisis_riesgo/

Seguridad informtica:
http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica#An.C3.A1lisis_de_riesgos

Qu es un anlisis de riesgos?
http://www.construsur.com.ar/Article349.html