El documento define el riesgo y la gestión de riesgos. Explica que la gestión de riesgos identifica y prioriza los peligros inherentes a un sistema u organización. Su objetivo es identificar y cuantificar la probabilidad de amenazas y establecer un nivel aceptable de riesgo. También describe que el análisis de riesgo es un proceso para identificar peligros, determinar su magnitud e identificar áreas que necesitan protección, con el fin de minimizar los efectos de problemas de seguridad.

1. Seguridad de Sistemas y Redes
Universidad Centroamericana

2. Definición de riesgo
Gestión de riesgos

4.  riesgo.
(Del it. risico o rischio, y este del ár. clás. rizq, lo que
depara la providencia).
 1. m. Contingencia o proximidad de un daño.
 2. m. Cada una de las contingencias que pueden ser objeto
de un contrato de seguro.
a ~ y ventura.
 1. loc. adv. Dicho de acometer una empresa o de celebrar
un contrato: Sometiéndose a influjo de suerte o evento,
sin poder reclamar por la acción de estos.
correr ~ algo.
 1. loc. verb. Estar expuesto a perderse o a no verificarse.

5.  En informática…
 Es la exposición de información privada
provocada por la mala configuración, mal o
funcionamiento de un software o hardware,
también por la falta de políticas o normas para el
uso de la información.

6. Si cumplimos lo anterior… ¿estaremos en
riesgo de pérdida o filtración de información?

7. Aunque tenga las mejores políticas y tecnología
los riesgos siempre existirán.
“Hombre o Mujer prevenida… vale por dos” 
La meta a perseguir en seguridad informática
es "lo que no está permitido debe estar
prohibido"

8.  Los riesgos deben gestionarse bajo todo un
proceso.
 Según definición de (Areitio Bertolín, 2008) el
proceso de gestión de riesgos identifica y
prioriza los peligros inherentes al desarrollo
de un producto, sistema u organización.

9.  “La gestión de riesgos… se define como el
proceso que se encarga de identificar y
cuantificar la probabilidad de que se produzcan
amenazas y de establecer un nivel aceptable
de riesgo para la organización.” (Areitio
Bertolín, 2008, pág. 7)

10.  Continua diciendo (Areitio Bertolín, 2008):
 La valoración de riesgos es el proceso
consistente en identificar los problemas antes
que aparezcan.
 En la gestión de riesgos, existe un factor
incertidumbre asociado con la probabilidad de
que aparezcan amenazas, que es diferente,
dependiendo de cada situación.

11.  Un incidente no deseado presenta tres
componentes: amenaza, vulnerabilidad e
impacto.
 Los riesgos se atenúan con la implantación de
salvaguardas, conocidas también como
medidas, controles o contramedida. Estas
pueden actuar contra la amenaza,
vulnerabilidad, impacto o el propio riesgo.

12. Definición
Razones para realizarlo

13.  Para tratar de minimizar los efectos de un
problema de seguridad, se realiza el
denominado análisis de riesgo.
 Es el proceso necesario para responder a tres
cuestiones básicas:
 ¿Qué queremos proteger?
 ¿Contra quién o qué se quiere proteger?
 ¿Cómo lo vamos hacer?

14.  Es un proceso consistente en identificar los
peligros que afectan a la seguridad,
determinar su magnitud e identificar las áreas
que necesitan salvaguardas.
 La valoración de riesgos es el resultado del
proceso del análisis de riesgo.

15.  El análisis de riesgo se aplica de forma
continua. Es una técnica que permite:
 Identificar los activos y controles de seguridad.
 Gestionar las alertas de los riesgos próximos.
 Identificar la necesidad de acciones correctivas.
 Proporcionar una guía de cara a los gastos de los
recursos.
 Relacionar el programa de control con la misión
de la organización.

16.  El análisis de riesgo se aplica de forma
continua. Es una técnica que permite:
 Proporcionar criterios para diseñar y evaluar
planes de contingencia y de continuidad de
negocios.
 Mejorar la concienciación global sobre la
seguridad a todos los niveles.

17.  Un agente de amenaza es el método
utilizado para explotar vulnerabilidades de un
sistema, operación, instalación o servicio.
 Las funciones de salvaguarda se materializan
en mecanismo de salvaguarda, que son
procedimientos o dispositivos físicos o
lógicos que reducen el riesgo, en funciones
preventivas y curativas.

18.  Para cada mecanismo de salvaguarda, se
toma en consideración en qué medida se
cumplimenta esta función y el grado de
implantación, a esto se le llama efectividad.
 La gestión de riesgo es el proceso total de
identificar, controlar, eliminar o minimizar los
eventos inciertos que puedan afectar.

20.  En la práctica existen dos enfoques básicos a
la hora de realizar un completo análisis de
riesgo: uno cuantitativo y otro cualitativo.

21.  El enfoque cualitativo es de uso muy común
en la actualidad, especialmente entre las
nuevas empresas consultoras de seguridad.
 Es más sencillo e intuitivo que el cuantitativo,
ya que entran en juego la estimación de
pérdidas potenciales y no las probabilidades
exactas.

22.  El enfoque cuantitativo es el menos utilizado, en
muchos casos implica cálculos complejos o
datos difíciles de estimar.
 Se basa en dos parámetros fundamentales: la
probabilidad de que se produzca un suceso y la
estimación del coste o pérdidas.
 A pesar de los inconvenientes hay empresas que
han adoptado éxito utilizando este tipo de
análisis.

23.  Areitio Bertolín, J. (2008). Seguridad de la
Información. Madrid: Paraninfo.

24. Gracias por su atención.