Ensayo De Análisis De Riesgos

Análisis de riesgos

“La medición es el primer paso para el control y la mejora. Si algo no se puede medir, no se puede entender. Si no se entiende, no se puede controlar. Si no se puede controlar, no se puede mejorar”

H. James Harrington.

Debemos considerar el análisis de riesgos como la medición del daño probable que se puede causar en el negocio por un fallo en la seguridad de información, con las consecuencias potenciales de la perdida de confidencialidad, integridad y disponibilidad.

Pero, ¿Que es un análisis de riesgo? consideremos un análisis de riesgos como el proceso de identificar las debilidades que pueden materializarse como amenazas a los activos, reflejándose como perdidas ó daños potenciales afectando la operación de la empresa u organización y por lo tanto causando un impacto negativo a la organización.

El analizar cada uno de los elementos que son susceptibles de correr un riesgo ó cualquier evento que pueda representar un daño potencial a los servicios, recursos ó sistemas de una empresa, nos podrá proveer de información para determinar las vulnerabilidades sobre los activos de la organización.

Es decir, un análisis de riesgos es algo similar a un inventario de posibles amenazas latentes que si bien no han materializado si podrían llegar a ocurrir causando un impacto sobre el negocio, el efecto secundario que se pueda causar dependerá del evento y la naturaleza del negocio. Por ejemplo para una empresa donde el Core Business son las ventas por internet, el tener la disponibilidad de los servidores web donde se alojan las aplicaciones que soportan las ventas será primordial y en caso que ocurriera un evento donde el nivel de servicio requerido se pudiera ver afectado por ese evento podría representar el mayor de los riesgos para dicha empresa. Por el contrario si dentro del contexto de la misma empresa se habla del riesgo de que un empleado de soporte telefónico enferme y no pueda asistir a trabajar por un día, el impacto será menor.

Es decir aunque las amenazas existen y pueden ser de naturaleza muy distinta para cada una de ellas, el impacto presentado también puede variar de manera radical entre una y otra. Por ello es recomendable hacer un análisis de riesgos donde podamos detectar la existencia posibles amenazas y cual sería el riesgo de cada una de ellas si estas se materializaran.

Una vez que hemos determinado las amenazas y riesgos que puede correr la organización, se pueden establecer controles con el objetivo de Mitigar, Eliminar, Transferir o bien Aceptar las amenazas existentes y así poder asumir las consecuencias de los riesgos potenciales.

¿Como lograr Mitigar, Eliminar o Transferir los riesgos? Una vez que se conocen las amenazas que pueden presentarse y el riesgo que se correría si alguna de ellas se materializara se pueden comenzar a establecer controles que ayuden

...