Hoy en día las empresas poseen una serie de recursos llamados activos que conforman el poder de adquisición y presupuesto que determinan su diferenciación en el mercado, pero entre estos recursos tenemos la información que estas poseen y que en la actualidad posee mayor valor ya que contiene data relevante de los procesos, estrategias entre otras cosas. Es por ello que son blanco de muchas amenazas que acompañadas de una debilidad conforman un riesgo a futuro obligándonos prácticamente a adoptar una serie de medidas, metodologías u herramientas que no permitan elaborar un análisis previo de los riegos que puedan ocasionar dichas amenazas, todo ello enmarcado en una serie de pasos debidamente secuenciales.
También debemos tener en cuenta que cada día va en aumento la cantidad de casos de incidentes relacionados con la seguridad de los sistemas de información que comprometen los activos de las empresas.
¿Qué es el análisis de riesgos?
En pocas palabras el análisis o evaluación de riesgos informáticos es un proceso que engloba la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo, además que es el primer paso de la seguridad informática.
El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo, en este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo total es:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el Riesgo Residual.
¿Qué acciones incluye este análisis de riesgos?
La evaluación o análisis del riesgo incluye las siguientes acciones y actividades.
- Identificación de los activos
- Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos
- Valoración de los activos identificados
- Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.
Deseas saber más?
DESCARGAR
DESCARGAR
0 comentarios:
Publicar un comentario