Analisis
Páginas: 14 (3260 palabras)
Publicado: 5 de abril de 2013
ISO 270001
Módulo 8:
Análisis y valoración de los riesgos.
Metodologías
Uno de los puntos clave de todo SGSI es el análisis de riesgos. En este módulo además de explicar
detalladamente en qué consiste y cómo debe llevarse a cabo para cumplir con lo establecido por la Norma
se describirán las principales metodologías que existen en el mercado.
Los contenidos de este módulo comprenden:
I.
Conceptos básicos.
Realización del análisis de riesgos.
Metodologías.
Evaluación.
Conceptos básicos de un análisis de riesgos:
En primer lugar conviene clarificar qué se entiende por riesgo. Dentro del contexto de un análisis de
riesgos, es la estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos
causando daños o perjuicios a laorganización. El riesgo indica lo que le podría pasar a los activos si no se
protegieran adecuadamente.
Antes de saber qué es un análisis de riesgos y lo que conlleva es importante conocer qué son otro tipo de
conceptos muy relacionados con los Análisis de Riesgos y la seguridad de la información. Estos son los más
importantes:
Ing. José M. Poveda
ISO 270001
Amenaza:Es la causa potencial de un daño a un activo.
Vulnerabilidad: debilidad de un activo que puede ser aprovechada por una amenaza.
Impacto: consecuencias de que la amenaza ocurra.
Riesgo intrínseco: cálculo del daño probable a un activo si se encontrara desprotegido.
Salvaguarda: Medida técnica u organizativa que ayuda a paliar el riesgo.
Riesgo residual: Riesgo remanente tras la aplicación desalvaguardas.
El análisis de riesgos se define como la utilización sistemática de la información disponible, para identificar
peligros y estimar los riesgos.
A la hora de diseñar un SGSI, es primordial ajustarse a las necesidades y los recursos de la organización para
que se puedan cubrir las expectativas, llegando al nivel de seguridad requerido con los medios disponibles.
Es relativamentesencillo calcular con cuantos recursos se cuenta (económicos, humanos, técnicos…) pero
no es tan fácil saber a ciencia cierta cuáles son las necesidades de seguridad.
Es aquí donde se muestra imprescindible la realización de un análisis de riesgos. Hacerlo permite averiguar
cuáles son los peligros a los que se enfrenta la organización y la importancia de cada uno de ellos. Con esta
informaciónya será posible tomar decisiones bien fundamentadas acerca de qué medidas de seguridad
deben implantarse.
Por tanto, un aspecto de gran importancia a la hora de realizar la implantación de un SGSI es tener en
cuenta que la inversión en seguridad tiene que ser proporcional al riesgo.
La información es generada y tratada por el personal tanto interno como externo, mediante los equipos detratamiento de la información existentes en la organización y está situada en las instalaciones, por lo hay
que considerar todos los riesgos relacionados con estos aspectos.
II.
Realización del análisis de riesgos:
Preparación del análisis de riesgos
Para realizar un análisis de riesgos se parte del inventario de activos. Si es razonablemente reducido, puede
decidirse hacer el análisis sobretodos los activos que contiene. Si el inventario es extenso, es
recomendable escoger un grupo relevante y manejable de activos, bien los que tengan más valor, los que
se consideren estratégicos o todos aquellos que se considere que se pueden analizar con los recursos
disponibles. Se puede tomar cualquier criterio que se estime oportuno para poder abordar el análisis de
riesgos en la confianzade que los resultados van a ser útiles.
Ing. José M. Poveda
ISO 270001
Hay que tener en cuenta que la realización de un análisis de riesgos es un proceso laborioso. Para cada
activo se van a valorar todas las amenazas que pueden afectarle, la vulnerabilidad cada una de las amenaza
y el impacto que causaría la amenaza en caso de ocurrir. Con todos esos datos, se cal cula el valor del...
Módulo 8:
Análisis y valoración de los riesgos.
Metodologías
Uno de los puntos clave de todo SGSI es el análisis de riesgos. En este módulo además de explicar
detalladamente en qué consiste y cómo debe llevarse a cabo para cumplir con lo establecido por la Norma
se describirán las principales metodologías que existen en el mercado.
Los contenidos de este módulo comprenden:
I.
Conceptos básicos.
Realización del análisis de riesgos.
Metodologías.
Evaluación.
Conceptos básicos de un análisis de riesgos:
En primer lugar conviene clarificar qué se entiende por riesgo. Dentro del contexto de un análisis de
riesgos, es la estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos
causando daños o perjuicios a laorganización. El riesgo indica lo que le podría pasar a los activos si no se
protegieran adecuadamente.
Antes de saber qué es un análisis de riesgos y lo que conlleva es importante conocer qué son otro tipo de
conceptos muy relacionados con los Análisis de Riesgos y la seguridad de la información. Estos son los más
importantes:
Ing. José M. Poveda
ISO 270001
Amenaza:Es la causa potencial de un daño a un activo.
Vulnerabilidad: debilidad de un activo que puede ser aprovechada por una amenaza.
Impacto: consecuencias de que la amenaza ocurra.
Riesgo intrínseco: cálculo del daño probable a un activo si se encontrara desprotegido.
Salvaguarda: Medida técnica u organizativa que ayuda a paliar el riesgo.
Riesgo residual: Riesgo remanente tras la aplicación desalvaguardas.
El análisis de riesgos se define como la utilización sistemática de la información disponible, para identificar
peligros y estimar los riesgos.
A la hora de diseñar un SGSI, es primordial ajustarse a las necesidades y los recursos de la organización para
que se puedan cubrir las expectativas, llegando al nivel de seguridad requerido con los medios disponibles.
Es relativamentesencillo calcular con cuantos recursos se cuenta (económicos, humanos, técnicos…) pero
no es tan fácil saber a ciencia cierta cuáles son las necesidades de seguridad.
Es aquí donde se muestra imprescindible la realización de un análisis de riesgos. Hacerlo permite averiguar
cuáles son los peligros a los que se enfrenta la organización y la importancia de cada uno de ellos. Con esta
informaciónya será posible tomar decisiones bien fundamentadas acerca de qué medidas de seguridad
deben implantarse.
Por tanto, un aspecto de gran importancia a la hora de realizar la implantación de un SGSI es tener en
cuenta que la inversión en seguridad tiene que ser proporcional al riesgo.
La información es generada y tratada por el personal tanto interno como externo, mediante los equipos detratamiento de la información existentes en la organización y está situada en las instalaciones, por lo hay
que considerar todos los riesgos relacionados con estos aspectos.
II.
Realización del análisis de riesgos:
Preparación del análisis de riesgos
Para realizar un análisis de riesgos se parte del inventario de activos. Si es razonablemente reducido, puede
decidirse hacer el análisis sobretodos los activos que contiene. Si el inventario es extenso, es
recomendable escoger un grupo relevante y manejable de activos, bien los que tengan más valor, los que
se consideren estratégicos o todos aquellos que se considere que se pueden analizar con los recursos
disponibles. Se puede tomar cualquier criterio que se estime oportuno para poder abordar el análisis de
riesgos en la confianzade que los resultados van a ser útiles.
Ing. José M. Poveda
ISO 270001
Hay que tener en cuenta que la realización de un análisis de riesgos es un proceso laborioso. Para cada
activo se van a valorar todas las amenazas que pueden afectarle, la vulnerabilidad cada una de las amenaza
y el impacto que causaría la amenaza en caso de ocurrir. Con todos esos datos, se cal cula el valor del...
Leer documento completo
Regístrate para leer el documento completo.