An Lisis De Riesgo Inform Tico Y SIPLA
Páginas: 6 (1393 palabras)
Publicado: 8 de abril de 2015
Análisis de riesgo informático
El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo encuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidadde preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.
Proceso de análisis de riesgos informáticos
El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis deriesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo total es:
RT(Riesgo Total) = Probabilidad x Impacto Promedio
A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el riesgo residual.
Como se describe en el BS ISO/IEC 27001:2005, la evaluación del riesgo incluye las siguientes actividades y acciones:
Identificación de los activos.
Identificación de los requisitos legales y de negocios que son relevantes parala identificación de los activos.
Valoración de los activos identificados.
Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.
Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.
Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
Cálculo delriesgo.
Evaluación de los riesgos frente a una escala de riesgos preestablecidos.
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:
Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina elriesgo.
Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.
Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.
Elementos relacionados
Activo. Es un objeto o recurso de valor empleado en una empresa u organización
Amenaza. Es un evento que puede causar un incidente de seguridad en una empresa u organizaciónproduciendo pérdidas o daños potenciales en sus activos.
Vulnerabilidad. Es una debilidad que puede ser explotada con la materialización de una o varias amenazas a un activo.
Riesgo. Es la probabilidad de ocurrencia de un evento que puede ocasionar un daño potencial a servicios, recursos o sistemas de una empresa.
Análisis. Examinar o descomponer un todo detallando cada uno de los elementos que loforman a fin de terminar la relación entre sus principios y elementos.
Control. Es un mecanismo de seguridad de prevención y corrección empleado para disminuir las vulnerabilidades
Este proceso administración de riesgo es un proceso continuo dado que es necesario evaluar periódicamente si los riesgos encontrados y si estos tienen una afectación, hay que hacer calculo en las diferentes etapas...
El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo encuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidadde preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.
Proceso de análisis de riesgos informáticos
El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis deriesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo total es:
RT(Riesgo Total) = Probabilidad x Impacto Promedio
A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el riesgo residual.
Como se describe en el BS ISO/IEC 27001:2005, la evaluación del riesgo incluye las siguientes actividades y acciones:
Identificación de los activos.
Identificación de los requisitos legales y de negocios que son relevantes parala identificación de los activos.
Valoración de los activos identificados.
Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.
Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.
Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
Cálculo delriesgo.
Evaluación de los riesgos frente a una escala de riesgos preestablecidos.
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:
Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina elriesgo.
Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.
Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.
Elementos relacionados
Activo. Es un objeto o recurso de valor empleado en una empresa u organización
Amenaza. Es un evento que puede causar un incidente de seguridad en una empresa u organizaciónproduciendo pérdidas o daños potenciales en sus activos.
Vulnerabilidad. Es una debilidad que puede ser explotada con la materialización de una o varias amenazas a un activo.
Riesgo. Es la probabilidad de ocurrencia de un evento que puede ocasionar un daño potencial a servicios, recursos o sistemas de una empresa.
Análisis. Examinar o descomponer un todo detallando cada uno de los elementos que loforman a fin de terminar la relación entre sus principios y elementos.
Control. Es un mecanismo de seguridad de prevención y corrección empleado para disminuir las vulnerabilidades
Este proceso administración de riesgo es un proceso continuo dado que es necesario evaluar periódicamente si los riesgos encontrados y si estos tienen una afectación, hay que hacer calculo en las diferentes etapas...
Leer documento completo
Regístrate para leer el documento completo.