Análisis de riesgo

Solo disponible en BuenasTareas
  • Páginas : 5 (1001 palabras )
  • Descarga(s) : 0
  • Publicado : 29 de marzo de 2011
Leer documento completo
Vista previa del texto
UNAPEC

Ensayo Análisis de Riesgo


13 de Febrero del 2011

INTRODUCCION

La seguridad en cualquier organización debe estar en consonancia con sus riesgos.
Sin embargo, el proceso para determinar qué controles de seguridad son adecuados y rentables, es a menudo complejo y responde en gran medida a cuestiones subjetivas. Una de las principales funciones de análisis de riesgos deseguridad es poner este proceso en una base más objetiva.
Existen una serie de diferentes enfoques para el análisis de riesgos pero, en esencia, suelen dividirse en dos tipos fundamentales: cuantitativos y cualitativos.

Análisis de Riesgo

¿Qué es el análisis de riesgo?
Es el primer paso de la seguridad informática.
Es un proceso que comprende la identificación de activosinformáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Un riesgo es un evento, el cual es incierto y tiene un impacto negativo. Análisis de riesgo es el proceso cuantitativo o cualitativo que permiteevaluar los riesgos.
Enfoque cuantitativo:
Este enfoque emplea dos elementos fundamentales, la probabilidad de que se produzca un hecho y la probable pérdida en caso de que ocurra el hecho citado.
El enfoque cuantitativo de análisis de riesgos se centra en el uso de una sola cifra producida a partir de estos elementos. A esto se le suele denominar comúnmente el “Annual Loss Expectancy” – ALE(Esperanza de pérdida anual) o también “’Estimated Annual Cost” – EAC (Coste anual estimado). La forma de calcularlo para un evento en concreto se realiza mediante la multiplicación de la pérdida potencial por la probabilidad. Gracias a este enfoque, es teóricamente posible clasificar los acontecimientos en orden de riesgo (ALE) a fin de tomar decisiones sobre esta base.
Los problemas con estetipo de análisis de riesgos están generalmente asociados con la inexactitud y falta de fiabilidad de los datos.
Enfoque cualitativo:
Este es, con mucho, la metodología más utilizada para el análisis de riesgos. En este caso, la probabilidad no es necesaria y tan solo es utilizado como factor de cálculo la pérdida potencial estimada.

Para compensar esta situación, la mayoría de lasmetodologías de análisis de riesgo cualitativo hacen uso de una serie de elementos relacionados entre sí:
* Amenazas
* Vulnerabilidades
* Controles
1. Disuasorios
2. Preventivos
3. Correctivos
4. Detectivos

OBJETIVO
Este análisis tiene como objetivos identificar los riesgos (mediante la identificación de sus elementos) y lograr establecer el riesgo total (o exposición brutaal riesgo) y luego el riesgo residual, tanto sea en términos cuantitativos o cualitativos.
Cuando se refiere al riesgo total, se trata de la combinación de los elementos que lo conforman.
Comúnmente se calcula el valor del impacto promedio por la probabilidad de ocurrencia para cada amenaza y activo.
De esta manera tendremos, para cada combinación valida de activos y amenazas:
Riesgo total=probabilidad x impacto promedio
Por ejemplo, si la probabilidad de incendios en el año es de 0.0001 y el impacto promedio en términos monetarios de los activos amenazados por un incendio es de $600.000, la exposición al riesgo anual es de 60.
El riesgo residual es una medida del riesgo total remanente luego de contemplar la efectividad de las acciones mitigantes existentes.
O sea, que si delejemplo anterior el riesgo total de amenaza de incendio es de 60, luego de contratar un seguro sobre la totalidad de los activos, el riesgo residual resultante sería igual a cero. Por otra parte si se asegura por la mitad del capital, el riesgo residual sería igual a 30.

IMPORTANCIA

La importancia de un buen análisis y una buena presentación de los datos analizados nos llevarán a una...
tracking img