El proceso de análisis de riesgo genera habitualmente un
documento al cual se le conoce como matriz de riesgo. En este documento se
muestran los elementos identificados, la manera en que se relacionan y los
cálculos realizados. Este análisis de riesgo es indispensable para lograr una
correcta administración del riesgo. La administración del riesgo hace
referencia a la gestión de los recursos de la organización.
Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo total es:
Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo total es:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el riesgo residual.
Como se describe en el BS ISO/IEC 27001:2005, la evaluación
del riesgo incluye las siguientes actividades y acciones:
· Identificación de los activos.
· Identificación de los requisitos legales y de
negocio que son relevantes para la identificación de los activos.
· Valoración de los activos identificados,
teniendo en cuenta los requisitos legales y de negocio identificados
anteriormente, y el impacto de una pérdida de confidencialidad, integridad y
disponibilidad.
· Identificación de las amenazas y
vulnerabilidades importantes para los activos identificados.
·
Evaluación del riesgo, de las amenazas y las
vulnerabilidades a ocurrir.
·
Cálculo del riesgo.
·
Evaluación de los riesgos frente a una escala de
riesgo preestablecido.
Después de efectuar el análisis debemos determinar las
acciones a tomar respecto a los riesgos residuales que se identificaron. Las
acciones pueden ser:
· Controlar el riesgo:Fortalecer los controles
existentes y/o agregar nuevos controles.
· Eliminar el riesgo:Eliminar el activo
relacionado y con ello se elimina el riesgo.
· Compartir el riesgo: Mediante acuerdos
contractuales parte del riesgo se traspasa a un tercero.
· Aceptar el riesgo:Se determina que el nivel de
exposición es adecuado y por lo tanto se acepta.
No hay comentarios.:
Publicar un comentario