Análisis de riesgos informáticos
1. ¿Cuál es el objetivo principal de un análisis de riesgos?
Un análisis de riesgos tiene como principal objetivo identificar en forma metódica lasamenazas y vulnerabilidades en un determinado entorno, así como valorar los posibles impactos, e identificar las áreas o activos que requieren medidas de protección[i]. También puede decirse que es unobjetivo del análisis de riesgos “…asegurar que los controles de seguridad de un sistema se adapten según la proporción de sus riesgos”[ii].
Como consecuencia de ello el análisis de riesgos permitedeterminar cuáles son los mayores riesgos y proveer información para poder evaluarlos y controlarlos.
2. ¿Qué miembros de la compañía deben participar en un análisis de riesgos? ¿Quiénes debenhacerlo con mayor protagonismo?
El análisis de riesgos es un proceso que debe ser direccionado por la alta gerencia y es ella quien debe ser su principal promotor. En el proceso deben estarinvolucrados todos los empleados de la organización, incluyendo contratistas y proveedores lo cual permite una base más amplia de experiencia que facilita identificar con mayor precisión todos losriesgos. Sin embargo existen empleados que desempeñan funciones ejecutivas de liderazgo y coordinación de las distintas áreas de la organización, que son los que mayor conocimiento tienen de la gestióngeneral de los procesos, los que deben estar más involucrados en las etapas del análisis cualitativos o cuantitativos , en la planificación de la respuesta al riesgo, en su control y monitoreo.Ejemplo de un análisis de riesgos
ACTIVO |VULNERABILIDAD |AMENAZA |FUENTE |DIMENSIONES |PROBABILIDAD |IMPACTO |RIESGO | | | | |Natural |Humana |Entorno |Disponibilidad |Confidencialidad|Integridad |Trazabilidad | | | | |COMAND |Los datos no están disociados en el entorno de pre-producción |Posible afectación de datos de producción desde entorno de PRE | |X | | |X |X | |MEDIA |ALTO...
Regístrate para leer el documento completo.