El riesgo se define como la combinación de la probabilidad de que se produzca un evento y sus consecuencias negativas. Los factores que lo componen son la amenaza y la vulnerabilidad.
Amenaza es un fenómeno, sustancia, actividad humana o condición peligrosa que puede ocasionar la muerte, lesiones u otros impactos a la salud, al igual que daños a la propiedad, la pérdida de medios de sustento y de servicios, trastornos sociales y económicos, o daños ambientales. La amenaza se determina en función de la intensidad y la frecuencia.
Vulnerabilidad son las características y las circunstancias de una comunidad, sistema o bien que los hacen susceptibles a los efectos dañinos de una amenaza. Con los factores mencionados se compone la siguiente fórmula de riesgo.
RIESGO = AMENAZA x VULNERABILIDAD
Los factores que componen la vulnerabilidad son la exposición, susceptibilidad y resistencia, expresando su relación en la siguiente fórmula.
VULNERABILIDAD = EXPOSICIÓN x SUSCEPTIBILIDAD / RESILIENCIA
Exposición es la condición de desventaja debido a la ubicación, posición o localización de un sujeto, objeto o sistema expuesto al riesgo.
Susceptibilidad es el grado de fragilidad interna de un sujeto, objeto o sistema para enfrentar una amenaza y recibir un posible impacto debido a la ocurrencia de un evento adverso.
Resistencia es la capacidad de un sistema, comunidad o sociedad expuestos a una amenaza para resistir, absorber, adaptarse y recuperarse de sus efectos de manera oportuna y eficaz, lo que incluye la preservación y la restauración de sus estructuras y funciones básicas.
Existen varias herramientas en el mercado con las que se puede uno apoyar a la hora de evaluar los riesgos, principalmente en el proceso de evaluación de los mismos. Una vez terminado este proceso se debe documentar toda la información recabada para su análisis posterior.
La herramienta que debemos seleccionar debe contener al menos un módulo de recolección de datos, de análisis de los mismos y otro de reportes.
La importancia de un buen análisis y una buena presentación de los datos analizados nos llevarán a una efectiva interpretación de la situación actual de los riesgos y por ende, la selección de los controles que debemos implementar será la más acertada en el proceso de selección, ahorrando costos en productos y costos de operación además del ahorro de tiempo.
Elementos de un análisis de riesgo
Cuando se pretende diseñar una técnica para implementar un análisis de riesgo informático se pueden tomar los siguientes puntos como referencia a seguir:
1.Construir un perfil de las amenazas que esté basado en los activos de la organización.
2.Identificación de los activos de la organización.
3.Identificar las amenazas de cada uno de los activos listados.
4.Conocer las prácticas actuales de seguridad
5.Identificar las vulnerabilidades de la organización.
6.Identificar los requerimientos de seguridad de la organización.
7.Identificación de las vulnerabilidades dentro de la infraestructura tecnológica.
8.Detección de los componentes claves
9.Desarrollar planes y estrategias de seguridad que contengan los siguientes puntos:
- Riesgo para los activos críticos
- Medidas de riesgos
- Estrategias de protección
- Planes para reducir los riesgos.
ANÁLISIS DE RIESGO INFORMÁTICO
El análisis de
riesgos informáticos es un proceso que comprende la identificación de
activos informáticos, sus vulnerabilidades y amenazas a los
que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto
de las mismas, a fin de determinar los controles adecuados para aceptar,
disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotación de un riesgo causaría
daños o pérdidas financieras o administrativas a una empresa u organización, se
tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se
encuentra expuesta mediante la aplicación de controles. Dichos controles, para
que sean efectivos, deben ser implementados en conjunto formando una
arquitectura de seguridad con la finalidad de preservar las propiedades de
confidencialidad, integridad y disponibilidad de los recursos objetos de
riesgo.
Herramientas de apoyo
La herramienta que debemos seleccionar debe contener al menos un módulo de recolección de datos, de análisis de los mismos y otro de reportes.
La importancia de un buen análisis y una buena presentación de los datos analizados nos llevarán a una efectiva interpretación de la situación actual de los riesgos y por ende, la selección de los controles que debemos implementar será la más acertada en el proceso de selección, ahorrando costos en productos y costos de operación además del ahorro de tiempo.
Amenazas informáticas
Las amenazas informáticas están relacionadas con la posibilidad de que algún tipo de evento se pueda presentar en cualquier instante de tiempo, en el cual existe un daño material o inmaterial sobre los activos informáticos y los sistemas de información.
Las amenazas son consideradas como los ataques cometidos por personas internas o externas, que pueden ocasionar daños a la infraestructura tecnológica, a los sistemas de información o a la misma información que circula en la organización.
Las amenazas pueden presentarse por acciones criminales en las que intervienen seres humanos violando las normas y las leyes, o sucesos de orden físico por eventos naturales que se puede presentar, o aquellos eventos en los que el ser humano propicia las condiciones para determinar un hecho físico, o por negligencia que son las omisiones, decisiones o acciones que pueden presentar algunas personas por desconocimiento, falta de capacitación y/o abuso de autoridad.
Análisis y valoración de riesgos informáticos.
No hay comentarios.:
Publicar un comentario