¿Qué es y por qué hacer un Análisis de Riesgos?


Como parte del Sistema de Gestión de Seguridad de la Información, es necesario para la empresa hacer una adecuada gestión de riesgos que le permita saber cuáles son las principales vulnerabilidades de sus activos de información y cuales son las amenazas que podrían explotar las vulnerabilidades. En la medida que la empresa tenga clara esta identificación de riesgos podrá establecer las medidas preventivas y correctivas viables que garanticen mayores niveles de seguridad en su información.





Son muchas las metodologías utilizadas para la gestión de riesgos, pero todas parten de un punto común: la identificación de activos de información, es decir todos aquellos recursos involucrados en la gestión de la información, que va desde datos y hardware hasta documentos escritos y el recurso humano. Sobre estos activos de información es que hace la identificación de las amenazas o riesgos y las vulnerabilidades

Una amenaza se puede definir entonces como un evento que puede afectar los activos de información y están relacionadas con el recurso humano, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser ataques informáticos externos, errores u omisiones del personal de la empresa, infecciones con malware, terremotos, tormentas eléctricas o sobrecargas en el fluido eléctrico. Por otra parte, una vulnerabilidad es una característica de un activo de información y que representa un riesgo para la seguridad de la información. Cuando se materializa una amenaza y hay una vulnerabilidad que pueda ser aprovechada hay una exposición a que se presente algún tipo de pérdida para la empresa. Por ejemplo el hecho de tener contraseñas débiles en los sistemas y que la red de datos no esté correctamente protegida puede ser aprovechado para los ataques informáticos externos.

Ahora, para que la empresa pueda tomar decisiones sobre cómo actuar ante los diferentes riesgos es necesario hacer una valoración para determinar cuáles son los más críticos para la empresa. Esta valoración suele hacerse en términos de la posibilidad de ocurrencia del riesgo y del impacto que tenga la materialización del riesgo. La valoración del impacto puede medirse en función de varios factores: la pérdida económica si es posible cuantificar la cantidad de dinero que se pierde, la reputación de la empresa dependiendo si el riesgo pueda afectar la imagen de la empresa en el mercado o de acuerdo al nivel de afectación por la pérdida o daño de la información.

En este punto se deberían tener identificados y valorados los principales riesgos que pueden afectar los activos de información de la empresa. Pero, ¿es suficiente con saber que puede pasar?. La respuesta es no. Una vez identificadas las amenazas, lo más importante del análisis de riesgos es la identificación de controles ya sea para mitigar la posibilidad de ocurrencia de la amenaza o para mitigar su impacto. Las medidas de control que puede asumir una empresa van a estar relacionadas con el tipo de amenaza y el nivel de exposición que represente para la información corporativa.

Una empresa puede afrontar un riesgo de cuatro formas diferentes: aceptarlo, transferirlo, mitigarlo o evitarlo. Si un riesgo no es lo suficientemente crítico para la empresa la medida de control puede ser Aceptarlo, es decir, ser consciente de que el riesgo existe y hacer un monitoreo sobre él. Si el riesgo representa una amenaza importante para la seguridad de la información se puede tomar la decisión de Transferir o Mitigar el riesgo. La primera opción está relacionada con tomar algún tipo de seguro que reduzca el monto de una eventual pérdida, y la segunda tiene que ver con la implementación de medidas preventivas o correctivas para reducir la posibilidad de ocurrencia o el impacto del riesgo. Finalmente si el nivel de riesgo es demasiado alto para que la empresa lo asuma, puede optar por Evitar el riesgo, eliminando los activos de información o la actividad asociada.

La gestión de riesgos debe garantizarle a la empresa la tranquilidad de tener identificados sus riesgos y los controles que le van a permitir actuar ante una eventual materialización o simplemente evitar que se presenten. Esta gestión debe mantener el equilibrio entre el costo que tiene una actividad de control, la importancia del activo de información para los procesos de la empresa y el nivel de criticidad del riesgo.

Fuente:
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research
http://blogs.eset-la.com/



Otras noticias de interés:

Actualización Debian 5.0.4
Nueva versión estable de uno de los sistemas operativos más populares basado en el kernel de Linux y herramientas GNU....
Usar software libre (GNU/LINUX) reduce costos, Una cuenta menos en qué pensar a la hora de crear su empresa
Si usted tiene una pequeña empresa y quiere reducir costos de operación, debería considerar los programas de software libre....
Curso básico de PHP
Esta pautado a realizarse un nuevo curso básico de PHP, en la ciudad de Valencia, Carabobo los días 4 y 5 de Septiembre. El curso está estructurado para llevarlo a modo intensivo, y poder realizarlo en todo un fin de se...
Denegación de servicio en "in.telnetd" de Sun Solaris
Se ha anunciado la existencia de una vulnerabilidad en Solaris que puede ser explotada por usuarios locales maliciosos para provocar una denegación de servicio en los sistemas vulnerables. ...
Safari con fallo de seguridad
Los sitios webs atacantes que visita el usuario con el navegador podrían acceer a la información a través de la función autocompletar....
Safari 4.0.2 corrige dos problemas de seguridad importantes
Apple ha liberado una nueva actualización para Safari, la versión 4.0.2, que además de mejorar la estabilidad del motor Javascript, tiene como característica más importante la corrección de dos vulnerabilidades de seguridad....
Internet Explorer 9 disponible
Microsoft ha lanzado la versión definitiva de Internet Explorer 9 (IE9), la primera actualización de su navegador desde 2009. El lanzamiento de Internet Explorer 9 se ha producido un año después de que Microsoft entregara la primera vista previa ...
Hackean la web malaya de Kaspersky
Aunque pueda parecer irónico, una de las empresas de software de seguridad con más prestigio del mundo ha sido atacada....
Microsoft cubrirá ocho vulnerabilidades en Windows y Office la próxima semana
Microsoft ha anunciado que emitirá dos actualizaciones de seguridad el próximo martes para cubrir ocho vulnerabilidades en sus productos Windows y Office. Ambas actualizaciones han sido clasificadas como importantes dentro del ranking de valoració...
IBM eleva seguridad con chip codificador
Con la intención de elevar el nivel de seguridad de la información en las computadoras portátiles, teléfonos celulares y otros artefactos, IBM presentará un método para insertar funciones codificadoras en los circuitos de las máquinas....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • analisis
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • riesgos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra