Analisis de riesgos
Páginas: 7 (1738 palabras)
Publicado: 28 de octubre de 2014
Análisis de Riesgos Informáticos
El análisis de riesgos informáticos es un proceso que comprendel a identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Elproceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. Como se describe en el BS ISO/ IEC 27001:2005, la evaluación del riesgo incluye las siguientes acciones y actividades.
Identificación de los activos
Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos
Valoración de los activosidentificados
Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.
Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.
Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
Cálculo del riesgo.
Evaluación de los riesgos frente a una escalade riesgo preestablecidos.
Elementos
ELEMENROS +
Activo. Es un objeto o recurso de valor empleado en una empresa u organización
Amenaza. Es un evento que puede causar un incidente de seguridad en una empresa u organización produciendo pérdidas o daños potenciales en sus activos.
Vulnerabilidad. Es una debilidad que puede ser explotada con la materialización de una o varias amenazas a unactivo.
Riesgo. Es la probabilidad de ocurrencia de un evento que puede ocasionar un daño potencial a servicios, recursos o sistemas de una empresa.
Análisis. Examinar o descomponer un todo detallando cada uno de los elementos que lo forman a fin de terminar la relación entre sus principios y elementos.
Control. Es un mecanismo de seguridad de prevención y corrección empleado para disminuirlas vulnerabilidades
Puesta en marcha de una política de seguridad Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores tienen sólo los permisos que se les dio. La seguridad informática debe ser estudiada para que no impida el trabajo de losoperadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene: Elaborar reglas y procedimientos para cada servicio de la organización. Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión.
Que es una matriz de riesgos
Una matriz deriesgo es una herramienta de control y de gestión normalmente utilizada para identificar las actividades (procesos y productos) más importantes de una institución financiera, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos que engendran estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuadagestión y administración de los riesgos financieros, operativos y estratégicos que impactan la misión de la organización. La matriz debe ser una herramienta flexible que documente los procesos y evalúe de manera global el riesgo de una institución. Una matriz es una herramienta sencilla que permite realizar un diagnóstico objetivo de la situación global de riesgo de una institución financiera.Permite una participación más activa de las unidades de negocios, operativas y funcionales en la definición de la estrategia institucional de riesgo de la entidad bancaria. Es consistente con los modelos de auditoría basados en riesgos ampliamente difundido en las mejores prácticas internacionales (Coso, Coco – Cobit ).
Fundamento de la Matriz
La Matriz la basé en el método de Análisis de Riesgo...
El análisis de riesgos informáticos es un proceso que comprendel a identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Elproceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. Como se describe en el BS ISO/ IEC 27001:2005, la evaluación del riesgo incluye las siguientes acciones y actividades.
Identificación de los activos
Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos
Valoración de los activosidentificados
Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.
Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.
Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
Cálculo del riesgo.
Evaluación de los riesgos frente a una escalade riesgo preestablecidos.
Elementos
ELEMENROS +
Activo. Es un objeto o recurso de valor empleado en una empresa u organización
Amenaza. Es un evento que puede causar un incidente de seguridad en una empresa u organización produciendo pérdidas o daños potenciales en sus activos.
Vulnerabilidad. Es una debilidad que puede ser explotada con la materialización de una o varias amenazas a unactivo.
Riesgo. Es la probabilidad de ocurrencia de un evento que puede ocasionar un daño potencial a servicios, recursos o sistemas de una empresa.
Análisis. Examinar o descomponer un todo detallando cada uno de los elementos que lo forman a fin de terminar la relación entre sus principios y elementos.
Control. Es un mecanismo de seguridad de prevención y corrección empleado para disminuirlas vulnerabilidades
Puesta en marcha de una política de seguridad Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores tienen sólo los permisos que se les dio. La seguridad informática debe ser estudiada para que no impida el trabajo de losoperadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene: Elaborar reglas y procedimientos para cada servicio de la organización. Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión.
Que es una matriz de riesgos
Una matriz deriesgo es una herramienta de control y de gestión normalmente utilizada para identificar las actividades (procesos y productos) más importantes de una institución financiera, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos que engendran estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuadagestión y administración de los riesgos financieros, operativos y estratégicos que impactan la misión de la organización. La matriz debe ser una herramienta flexible que documente los procesos y evalúe de manera global el riesgo de una institución. Una matriz es una herramienta sencilla que permite realizar un diagnóstico objetivo de la situación global de riesgo de una institución financiera.Permite una participación más activa de las unidades de negocios, operativas y funcionales en la definición de la estrategia institucional de riesgo de la entidad bancaria. Es consistente con los modelos de auditoría basados en riesgos ampliamente difundido en las mejores prácticas internacionales (Coso, Coco – Cobit ).
Fundamento de la Matriz
La Matriz la basé en el método de Análisis de Riesgo...
Leer documento completo
Regístrate para leer el documento completo.