Analisis De Riesgos
Enviado por juaferesze • 14 de Julio de 2013 • 6.475 Palabras (26 Páginas) • 252 Visitas
ANÁLISIS DE RIESGO
Visión general del análisis de riesgo
Evaluación del valor del activo.
Evaluación de amenazas.
Evaluación de riesgos.
Evaluación de vulnerabilidades.
Administración de riesgos.
El modelo del análisis de riesgo
Como se muestra en la Figura 1.1 –Diagrama de flujo del análisis de riesgo, el análisis de riesgo es un proceso para identificar valores de activos, amenazas y vulnerabilidades, para constatar riegos. El resultado final es identificar las opciones de moderación de amenazas y seleccionar medidas que proporcionen el mayor beneficio por la inversión. Esto se conoce como administración de riesgo.
Figura 1.1 –Diagrama de flujo del análisis de riesgo
Riesgo es la posibilidad de pérdida de, o daño a, un activo, tal como un edificio o empleados. Se mide con base al valor del activo en relación con las amenazas y vulnerabilidades que se relaciona con este. El riesgo se basa en la posibilidad de incidencia de la amenaza o peligro y las consecuencias o gravedad del incidente que resulte.
La evaluación de riesgo analiza los valores de activos, las amenazas, su probabilidad asociada de incidencia, consecuencias de que la amenaza se lleve a cabo y vulnerabilidades de los activos para constatar el nivel de riesgo de cada activo contra cada amenaza que aplique. La evaluación de riesgo proporciona a los gerentes de seguridad los perfiles de riesgo correspondientes, los cuales definen que activos están en mayor peligro contra amenazas específicas.
Conceptos claves de riesgo
No se debe implementar ningún programa de seguridad sin antes identificar los activos a proteger, las amenazas contra esos activos y que tan vulnerables son los activos ante las diversas amenazas.
Riesgo puede definirse como la posibilidad de una pérdida o daño a un activo, toma en consideración el valor del activo, las amenazas o peligros que posiblemente impacten al activo y la vulnerabilidad del activo ante la amenaza o peligro.
Se puede asignar valores a estos tres componentes de riesgo para proporcionar una clasificación general de riesgo de seguridad.
El riesgo de seguridad para cada activo puede cuantificarse mediante la siguiente ecuación:
Clasificación de riesgo de seguridad = clasificación del valor del activo x clasificación de posibilidad de la amenaza x clasificación de la gravedad del incidente x clasificación de vulnerabilidad
El ordenar los activos por clasificación de riesgos no ayuda a tomar decisiones sobre que activos necesita protegerse.
Proceso de análisis de riesgo
El proceso de análisis de riesgo es un examen detallado que incluye evaluación de riesgo, evaluación de vulnerabilidad, análisis de costo/beneficio y alternativas de administración de riesgo, que se lleva a cabo para comprender la naturaleza de consecuencias negativas y no deseadas ante la vida humana, salud, propiedad o el ambiente.
Los aspectos para determinar el valor de activos, amenazas, su posibilidad de incidencia, impacto en los activos y luego determinar la vulnerabilidad, es lo se conoce como el proceso de evaluación de riego.
Las medidas y defensas para mitigar las amenazas y reducir las vulnerabilidades incluyendo el análisis de costo-benéfico, es lo que se conoce como administración de riesgo.
Visión general de riesgo
Beneficios del análisis de riesgo
Un análisis de riesgo llevado a cabo adecuadamente puede ofrecer muchos beneficios:
El análisis demostrará la postura de seguridad vigente de la empresa.
Destacará las áreas en las que se necesita más, (o menos) seguridad.
Ayudara a formular algunos de los hechos necesarios para el desarrollo y justificación en contramedidas económicas.
Evaluación de riegos.
Existen varios enfoques distintos en la evaluación de riesgos, sin embargo, básicamente se dividen en dos tipos: cuantitativo y cualitativo.
Definamos los términos:
Cuantitativo: Relacionado con, concerniente o con base en la cantidad o número de algo, capaz de medirse o expresarse en términos numéricos.
Cualitativo: Relacionado con aquello que es característico de algo que lo hace lo que es.
Evaluación cuantitativa de riesgo
Los métodos cuantitavos se utilizan cuando el profesional posee muy buena información con respecto al costo actual de la pérdida, del impacto de un evento de amenaza y la frecuencia con la cual ocurrirá.
Probabilidad es una medida (que se expresa como un porcentaje o proporción) de la cantidad de resultados en un conjunto exhaustivo de posibilidades e iguales resultados que produce un evento dado en un número de posibles resultados.
Un concepto básico es: mientras más formas hay de que un evento particular pueda ocurrir en una circunstancia dada, mayor es la posibilidad de que ocurra. Para una evaluación efectiva de una probabilidad cuantitativa, deben conocerse y reconocerse la mayoría de tales circunstancias que podrían producir la perdida.
Este enfoque emplea dos elementos fundamentales: 1) La probabilidad o posibilidad de que ocurra un evento y 2) el cálculo de la pérdida probable en caso de que ocurra el evento. El análisis cuantitativo de riego utiliza una cifra única producto de estos elementos. A esto se llama expectativa de pérdida anual (ALE, por sus siglas en ingles). Este valor se calcula para cada amenaza multiplicando el valor de la pérdida potencial del activo (impacto o consecuencia) por la probabilidad o posibilidad de que ocurra la amenaza o:
ALE= probabilidad de amenaza x el valor de la perdida potencial
Por lo tanto, teóricamente es posible clasificar eventos en orden de ALE, lo cual proporciona un valor cuantitativo por el “riesgo” y nos permite tomar decisiones con base en este valor.
Los problemas que presentan en este tipo de análisis de riesgo, generalmente se relaciona con la posibilidad, falta de fiabilidad
...