El an lisis de riesgos inform ticos es un proceso que comprende la identificaci n de activos inform ticos
Páginas: 13 (3080 palabras)
Publicado: 1 de junio de 2015
3,3ANÁLISIS Y GESTIÓN DEL RIESGO
El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Elproceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados.
Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de laorganización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras.
La fórmula para determinar el riesgo total es: RT (Riesgo Total) = Probabilidad x Impacto Promedio
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que seidentificaron. Las acciones pueden ser:
Estrategias de riesgo reactivas y proactivas
Las estrategias de riesgo reactivas se han denominado humorísticamente "Escuela de gestión del riesgo de Indiana Jones". En las películas, Indiana Jones, cuando se enfrentaba a una dificultad insuperable, siempre decía "¡No te preocupes, pensaré en algo!". Nunca se preocupaba de los problemas hasta que ocurrían,entonces reaccionaba como un héroe.
En el mejor de los casos, la estrategia reactiva supervisa el proyecto en previsión de posibles riesgos. Los recursos se ponen aparte, en caso de que pudieran convertirse en problemas reales. Pero lo más frecuente es que el equipo de software no haga nada respecto a los riesgos hasta que algo va mal. Después el equipo vuela para corregir el problema rápidamente.éste es el método denominado a menudo "de bomberos". Cuando falla, "la gestión de crisis" entra en acción y el proyecto se encuentra en peligro real.
Una estrategia considerablemente más inteligente para el control del riesgo es ser proactivo. La estrategia proactiva empieza mucho antes de que comiencen los trabajos técnicos. Se identifican los riesgos potenciales, se valoran su probabilidad y suimpacto y se establece una prioridad según su importancia. Después el equipo de software establece un plan para controlar el riesgo. El primer objetivo es evitar el riesgo, poco común no se pueden evitar todos los riesgos. el equipo trabaja para desarrollar un plan de contingencia que le permita responder de una manera eficaz y controlada.
Riesgos del proyecto. Amenazan el plan del proyecto,si los riesgos se presentan, es probable que la planeación se atrase y los costos aumenten. Identifican potenciales problemas de:
Presupuesto.
Planeación temporal.
Asignación y organización del personal.
Recursos.
Cliente.
Requisitos.
Riesgos técnicos. Amenazan la calidad y la planeación temporal, si los riesgos se presentan, la implementación puede ser difícil o imposible. Identifican problemaspotenciales de:
Ambiguedad de especificaciones.
Diseño.
Implementación.
Interface.
Técnicas anticuadas.
Verificación.
Mantenimiento.
Riesgos del negocio. Amenazan la viabilidad del software a construir. Ponen en peligro al proyecto o al producto.
Riesgo de mercado. Construir un producto que nadie quiera.
Riesgo estratégico. Construir un producto que no encaje en la estrategia comercial de laempresa.
Riesgo de ventas. Construir un producto que el departamento de ventas no sepa cómo vender.
Riesgo de dirección. Perder el apoyo de la dirección por cambio de personal o de enfoque.
Riesgo de presupuesto. Perder presupuesto o personal asignado.
Identificacion del riesgo
es un intento sistemático para especificar las amenazas al plan del proyecto (estimaciones, planificación temporal, carga de...
El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Elproceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados.
Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de laorganización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras.
La fórmula para determinar el riesgo total es: RT (Riesgo Total) = Probabilidad x Impacto Promedio
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que seidentificaron. Las acciones pueden ser:
Estrategias de riesgo reactivas y proactivas
Las estrategias de riesgo reactivas se han denominado humorísticamente "Escuela de gestión del riesgo de Indiana Jones". En las películas, Indiana Jones, cuando se enfrentaba a una dificultad insuperable, siempre decía "¡No te preocupes, pensaré en algo!". Nunca se preocupaba de los problemas hasta que ocurrían,entonces reaccionaba como un héroe.
En el mejor de los casos, la estrategia reactiva supervisa el proyecto en previsión de posibles riesgos. Los recursos se ponen aparte, en caso de que pudieran convertirse en problemas reales. Pero lo más frecuente es que el equipo de software no haga nada respecto a los riesgos hasta que algo va mal. Después el equipo vuela para corregir el problema rápidamente.éste es el método denominado a menudo "de bomberos". Cuando falla, "la gestión de crisis" entra en acción y el proyecto se encuentra en peligro real.
Una estrategia considerablemente más inteligente para el control del riesgo es ser proactivo. La estrategia proactiva empieza mucho antes de que comiencen los trabajos técnicos. Se identifican los riesgos potenciales, se valoran su probabilidad y suimpacto y se establece una prioridad según su importancia. Después el equipo de software establece un plan para controlar el riesgo. El primer objetivo es evitar el riesgo, poco común no se pueden evitar todos los riesgos. el equipo trabaja para desarrollar un plan de contingencia que le permita responder de una manera eficaz y controlada.
Riesgos del proyecto. Amenazan el plan del proyecto,si los riesgos se presentan, es probable que la planeación se atrase y los costos aumenten. Identifican potenciales problemas de:
Presupuesto.
Planeación temporal.
Asignación y organización del personal.
Recursos.
Cliente.
Requisitos.
Riesgos técnicos. Amenazan la calidad y la planeación temporal, si los riesgos se presentan, la implementación puede ser difícil o imposible. Identifican problemaspotenciales de:
Ambiguedad de especificaciones.
Diseño.
Implementación.
Interface.
Técnicas anticuadas.
Verificación.
Mantenimiento.
Riesgos del negocio. Amenazan la viabilidad del software a construir. Ponen en peligro al proyecto o al producto.
Riesgo de mercado. Construir un producto que nadie quiera.
Riesgo estratégico. Construir un producto que no encaje en la estrategia comercial de laempresa.
Riesgo de ventas. Construir un producto que el departamento de ventas no sepa cómo vender.
Riesgo de dirección. Perder el apoyo de la dirección por cambio de personal o de enfoque.
Riesgo de presupuesto. Perder presupuesto o personal asignado.
Identificacion del riesgo
es un intento sistemático para especificar las amenazas al plan del proyecto (estimaciones, planificación temporal, carga de...
Leer documento completo
Regístrate para leer el documento completo.