Detalles Concepto Riesgo
Páginas: 6 (1285 palabras)
Publicado: 15 de abril de 2014
ANÁLISIS DE RIESGOS
¿Qué significa el término riesgo?
El Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. De manera cuantitativa, el riesgo es la medida de las posibilidades de incumplimiento o exceso del objetivo planteado. Así definido, un riesgo conlleva a tipos de consecuencias: ganancias o pérdidas.
La Organización Internacional para laNormalización (ISO) define el riesgo tecnológico (Guías para la gestión de la seguridad de TI/TEC TR 13335-1, 1996) como:
En la definición anterior se pueden identificar varios elementos que se deben comprender adecuadamente. Estos elementos son: probabilidad, amenazas, vulnerabilidades, activos e impactos.
A continuación se analizan cada uno de ellos:
Activos: elementos que poseen valorpara la organización. Bajo la óptica de la seguridad informática los activos a reconocer son aquellos relacionados con los sistemas de información: la información, los recursos que la soportan y las personas que la utilizan.
Amenazas: son aquellas acciones que pueden ocasionar consecuencias negativas en la operatividad de la empresa. Comúnmente se indican como amenazas: a las fallas, a losingresos no autorizados, a los virus, uso inadecuado de software, los desastres ambientales como terremotos, o inundaciones, facilidad de acceso a las instalaciones, entre otros.
Vulnerabilidades: son ciertas condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen. Mediante el uso de las debilidades existentes es que las amenazas se materializan. Amodo de ejemplo se citan las siguientes vulnerabilidades: falta de conocimiento del usuario, tecnología inadecuadamente probada, antivirus no actualizados, entre otros.
Probabilidad: se refiere a la posibilidad de ocurrencia de un evento de manera cuantitativa o cualitativa; debe considerarse en cada caso qué posibilidad existe de que la amenaza se presente independientemente del hecho que sea.Impactos: se refiere a las consecuencias negativas de la ocurrencia de las distintas amenazas. Las pérdidas generadas pueden ser financieras, no financieras, de corto o largo plazo.
Riesgos Informáticos en una organización
1. Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la autorización, para la entrada, procesamiento y generación de reportes de las aplicacionesutilizadas en una organización. En un sistema automatizado, por ejemplo, estos riesgos pueden minimizarse a nivel de:
Interface del usuario: a través del establecimiento de restricciones a los individuos y su autorización de ejecutar funciones
Procesamiento: a través de un adecuado balance de los controles detectivos y preventivos que aseguren que el procesamiento de la información ha sidocompletado.
Procesamiento de errores: con el desarrollo de métodos que aseguren que cualquier entrada/proceso de información de errores (Exceptions) sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente.
Interface: con la implementación de controles preventivos y detectivos que aseguren que la información ha sido procesada y transmitida adecuadamente por lasaplicaciones.
Administración de cambios: a través del establecimiento de compromisos y entrenamiento de los usuarios en caso de cambios de los procesos, y la forma de comunicarlos e implementarlos.
2. Riesgos de información: bajo este renglón se agrupan todos los riesgos que atenten contra el uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la informaciónde toma de decisiones (Información y datos correctos de una persona/proceso/sistema en el tiempo preciso permiten tomar decisiones correctas).
3. Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e información. Estos riesgos abarcan: Los riesgos de separación inapropiada de trabajo, los riesgos asociados con la integridad de la información de sistemas de bases...
¿Qué significa el término riesgo?
El Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. De manera cuantitativa, el riesgo es la medida de las posibilidades de incumplimiento o exceso del objetivo planteado. Así definido, un riesgo conlleva a tipos de consecuencias: ganancias o pérdidas.
La Organización Internacional para laNormalización (ISO) define el riesgo tecnológico (Guías para la gestión de la seguridad de TI/TEC TR 13335-1, 1996) como:
En la definición anterior se pueden identificar varios elementos que se deben comprender adecuadamente. Estos elementos son: probabilidad, amenazas, vulnerabilidades, activos e impactos.
A continuación se analizan cada uno de ellos:
Activos: elementos que poseen valorpara la organización. Bajo la óptica de la seguridad informática los activos a reconocer son aquellos relacionados con los sistemas de información: la información, los recursos que la soportan y las personas que la utilizan.
Amenazas: son aquellas acciones que pueden ocasionar consecuencias negativas en la operatividad de la empresa. Comúnmente se indican como amenazas: a las fallas, a losingresos no autorizados, a los virus, uso inadecuado de software, los desastres ambientales como terremotos, o inundaciones, facilidad de acceso a las instalaciones, entre otros.
Vulnerabilidades: son ciertas condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen. Mediante el uso de las debilidades existentes es que las amenazas se materializan. Amodo de ejemplo se citan las siguientes vulnerabilidades: falta de conocimiento del usuario, tecnología inadecuadamente probada, antivirus no actualizados, entre otros.
Probabilidad: se refiere a la posibilidad de ocurrencia de un evento de manera cuantitativa o cualitativa; debe considerarse en cada caso qué posibilidad existe de que la amenaza se presente independientemente del hecho que sea.Impactos: se refiere a las consecuencias negativas de la ocurrencia de las distintas amenazas. Las pérdidas generadas pueden ser financieras, no financieras, de corto o largo plazo.
Riesgos Informáticos en una organización
1. Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la autorización, para la entrada, procesamiento y generación de reportes de las aplicacionesutilizadas en una organización. En un sistema automatizado, por ejemplo, estos riesgos pueden minimizarse a nivel de:
Interface del usuario: a través del establecimiento de restricciones a los individuos y su autorización de ejecutar funciones
Procesamiento: a través de un adecuado balance de los controles detectivos y preventivos que aseguren que el procesamiento de la información ha sidocompletado.
Procesamiento de errores: con el desarrollo de métodos que aseguren que cualquier entrada/proceso de información de errores (Exceptions) sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente.
Interface: con la implementación de controles preventivos y detectivos que aseguren que la información ha sido procesada y transmitida adecuadamente por lasaplicaciones.
Administración de cambios: a través del establecimiento de compromisos y entrenamiento de los usuarios en caso de cambios de los procesos, y la forma de comunicarlos e implementarlos.
2. Riesgos de información: bajo este renglón se agrupan todos los riesgos que atenten contra el uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la informaciónde toma de decisiones (Información y datos correctos de una persona/proceso/sistema en el tiempo preciso permiten tomar decisiones correctas).
3. Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e información. Estos riesgos abarcan: Los riesgos de separación inapropiada de trabajo, los riesgos asociados con la integridad de la información de sistemas de bases...
Leer documento completo
Regístrate para leer el documento completo.