Análisis de Riesgo

Análisis de Riesgo

Como parte del sistema de gestión de seguridad de la información, es necesario para la empresa hacer una adecuada gestión de riesgos que le permita saber cuáles son las principales vulnerabilidades de sus activos de información y cuales son amenazas que podrían explotar las vulnerabilidades.

En la medida que la empresa tenga clara esta identificación de riesgos podrá establecer las medidas preventivas y correctivas viables que garanticen mayores niveles de seguridad en su información.

Son muchas las metodologías utilizadas para la gestión de riesgos, pero todas parten de un punto común: la identificación de activos de información, es decir todos aquellos recursos involucrados en la gestión de la información, que va desde datos y hardware hasta documentos escritos y el recurso humano. Sobre estos activos de información es que se hace la identificación de las amenazas o riesgos y las vulnerabilidades.

Pasos para realizar un análisis de riesgo.

1. Definir el alcance: El primer paso a la hora de llevar a cabo el análisis es establecer el alcance del estudio.

2. Identificar los activos: una vez definido el alcance, debemos identificar los activos más importantes que guardan relación con el departamento, proceso, o sistema objeto del estudio.

Nombre Departamento Responsable Cantidad de Equipos

Servidor 01 y 2 computadoras y un IDF Servidor en el área de sistemas Encargado del área de sistemas 1

10 computadoras de escritorio y 1 switch Departamento de desarrollo Encargado del área de sistemas 11

1 computadora portátil Oficina 1 y 2 Gerente general de planta 2

1 computadora de escritorio Recursos Humanos Jefe de Departamento 1

1 computadora de escritorio Finanzas Jefe de departamento 1

1 Router Sala de Juntas Jefe de sistemas 1

1 computadora de escritorio Compras Jefe de departamento 1

3. Identificar las amenazas: Habiendo identificado los principales activos, el

...