Ensayo Circulos De Calidad

Análisis del riesgo

Conocer las vulnerabilidades e implementar procedimientos para combatirlos es importante, sin embargo hasta ahora no existe ninguna medida de seguridad que garantice completamente la protección contra las vulnerabilidades.

Incluso cuando se desea evitar la materialización de un desastre, también es necesario conocer los efectos que provocan en los activos de una organización a corto y largo plazo.

El análisis de riesgo es el proceso encargado de identificar las amenazas y vulnerabilidades, conocer sus efectos e impacto que producen y conocer la probabilidad de que ocurran.

La información obtenida por este procedimiento permite identificar los controles de seguridad existentes, calcular vulnerabilidades y evaluar el efecto de las amenazas en cada área vulnerable.

No se necesita estar expuesto a grandes amenazas informáticas para que de un momento a otro ocurra un desastre

Terminología básica

Activos. Es todo aquello con valor para una organización y que necesita protección, en el ámbito informático pueden ser datos, infraestructura, hardware, software, personal, información, servicios.

Riesgo. Un riesgo es la posibilidad de que se presente algún daño o pérdida, esto es, la posibilidad de que se materialice una amenaza.

Aceptación del riesgo. Es la decisión de recibir, reconocer, tolerar o admitir un riesgo. Esta decisión se toma una vez que se han estudiado los diferentes escenarios posibles para una misma amenaza y se han aplicado todos los procedimientos posibles para contrarrestar sus efectos y probabilidad de que ocurra.

Análisis del riesgo. Uso sistemático de la información disponible para identificar las fuentes y para estimar la frecuencia de que determinados eventos no deseados pueden ocurrir y la magnitud de sus consecuencias.

Manejo del riesgo. Proceso de identificación, control y minimización o eliminación de riesgos de seguridad que pueden afectar a los sistemas de información, por un costo aceptable.

Evaluación del riesgo. Comparación de los resultados de un análisis del riesgo con los criterios estándares del riesgo u otros criterios de decisión.

Impacto. Son las pérdidas resultantes de la actividad de una amenaza, las pérdidas son normalmente expresadas en una o más áreas de impacto – destrucción, denegación de servicio, revelación o modificación-.

Pérdida esperada. El impacto anticipado y negativo a los activos debido a una manifestación de la amenaza.

Vulnerabilidad. Una vulnerabilidad informática es un elemento de un sistema informático que puede ser aprovechado por un atacante para violar la seguridad, así mismo pueden causar daños por sí mismos sin tratarse de un ataque intencionado.

Amenaza. Una acción o situación potencial que tiene la posibilidad de causar daño.

Riesgo residual. Es el nivel de riesgo que queda después de la consideración de todas las medidas necesarias, los niveles de vulnerabilidad y las amenazas relacionadas. Éste debe ser aceptado como es o reducirse a un punto donde pueda ser aceptado.

Controles. Protocolos y mecanismos de protección que permiten el cumplimiento de las políticas de seguridad de la organización. Un mismo control puede ser implementado para una o varias políticas de seguridad, lo que indica que la relación no es forzosamente de uno a uno.

Análisis cuantitativo

El análisis cuantitativo es una técnica de análisis que busca entender el comportamiento de las cosas por medio de modelos estadísticos y técnicas matemáticas para ello se encarga de asignar un valor numérico a las variables, e intenta replicar la realidad matemáticamente.

Un modelo cuantitativo habitual es aquel en el que las consecuencias de la materialización de amenazas se asocian a un determinado nivel de impacto en función de la estimación del coste económico que suponen para la organización.

En resumen, el análisis de riesgo cuantitativo se ocupa específicamente de la revisión cuantitativa de los riesgos que pueden presentarse en los distintos tipos de industrias, determinando numéricamente la frecuencia de ocurrencia de una amenaza, el valor monetario del activo, el impacto económico y el daño producido.

Análisis cualitativo

Las métricas asociadas con el impacto causado por la materialización de las

amenazas se valoran en términos subjetivos (Impacto Muy Alto, Alto, Medio,

Bajo o Muy Bajo). Las consecuencias de la materialización de amenazas se

asocian a un determinado nivel de impacto en función de multitud de factores

(pérdidas económicas efectivas, pérdida de conocimiento, pérdida de

competitividad, interrupción de negocio, pérdida de imagen, etc).

Pasos del análisis de riesgo

El proceso de análisis de riesgo consiste en ocho pasos interrelacionados:

1. Identificación y evaluación de activo

2. Identificar las amenazas correspondientes

3. Identificar las vulnerabilidades

4. Determinar el impacto de la ocurrencia de una amenaza

5. Determinar los controles en el lugar

6. Determinar los riesgos residuales (conclusiones)

7. Identificar los controles adicionales (recomendaciones)

8. Preparar el informe del análisis de riesgo

Como en todos los procesos, los pasos de un análisis de riesgos pueden variar pero comparten enfoques comunes importantes

Identificación y evaluación de los activos. El primer paso en la evaluación de riesgo es identificar y asignar un valor a los activos que necesitan protección. El valor de los activos es un factor significante en la decisión para realizar cambios operacionales o para incrementar la protección de los activos. El valor del activo se basa en su costo, sensibilidad, misión crítica, o la combinación de estas propiedades. El valor del activo se usará para determinar la magnitud de la pérdida cuando la amenaza ocurra.

Identificación de amenazas. Después de identificar los activos que requieren protección, las amenazas a éstos deben identificarse y examinarse para determinar cuál sería la pérdida si dichas amenazas se presentan. Este paso envuelve la identificación y la descripción de las amenazas correspondientes

...