1. ANÁLISIS DE RIESGO
El análisis de riesgo, también conocido como
evaluación de riesgo o PHA por sus siglas en
inglésProcess Hazards Analysis, es el estudio de
las causas de las posibles amenazas y probables
eventos no deseados y los daños y
consecuencias que éstas puedan producir.
Análisis de Riesgos
Informáticos
El análisis de riesgos informáticos es un proceso que comprende la identificación de
activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así
como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los
controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo
Como se describe en el BS ISO / IEC
27001:2005, la evaluación del riesgo
incluye las siguientes acciones y
actividades.
Identificación de los activos
Identificación de los requisitos
legales y de negocios que son relevantes
para la identificación de los activos
Valoración de los activos identificados
Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de
una pérdida de confidencialidad, integridad y disponibilidad.
Identificación de las amenazas y vulnerabilidades importantes para los activos
identificados.
Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
Cálculo del riesgo.
Evaluación de los riesgos frente a una escala de riesgo preestablecidos '
2. ELEMENTOS
ACTIVO: recurso del sistema de información o relacionado con éste, necesario para que la
organización funcione correctamente y alcance los objetivos propuestos.
AMENAZA: Es un evento que pueden desencadenar un incidente en la organización, produciendo
daños materiales o pérdidas inmateriales en sus activos.
IMPACTO: consecuencia de la materialización de una amenaza.
RIESGO: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o
en toda la Organización.
VULNERABILIDAD: posibilidad de ocurrencia de la materialización de una amenaza sobre un
Activo.
ATAQUE: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
DESASTRE O CONTINGENCIA: interrupción de la capacidad de acceso a información y
procesamiento de la misma a través de computadoras necesarias para la operación normal de un
negocio
PUESTA EN MARCHA DE UNA POLÍTICA DE SEGURIDAD
Generalmente se ocupa exclusivamente a asegurar los
derechos de acceso a los datos y recursos con las
herramientas de control y mecanismos de identificación.
La seguridad informática debe ser estudiada para que no
impida el trabajo de los operadores en lo que les es
necesario y que puedan utilizar el sistema informático
con toda confianza. Por eso en lo referente a elaborar
una política de seguridad, conviene: Elaborar reglas y
procedimientos para cada servicio de la organización.
Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible
intrusión Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas
informáticos. Los derechos de acceso de los operadores deben ser definidos por los responsables
jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir que los
recursos y derechos de acceso sean coherentes con la política de seguridad definida. Además,
como el administrador suele ser el único en conocer perfectamente el sistema, tiene que derivar a
la directiva cualquier problema e información relevante sobre la seguridad, y eventualmente
aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la comunicación a
los trabajadores sobre problemas y recomendaciones en término.