Documente Academic
Documente Profesional
Documente Cultură
ndice
[ocultar]
1Introduccin
3Consideraciones
4Elementos relacionados
5Herramientas de apoyo
8Herramientas comerciales
9Vase tambin
10Referencias
o 10.1Bibliografa
Introduccin[editar]
Los riesgos de seguridad de informacin deben ser considerados en el contexto del negocio, y
las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo,
produccin, operaciones, administracin, TI, finanzas, etctera y los clientes deben ser
identificados para lograr una imagen global y completa de estos riesgos.
Cada organizacin tiene una misin. En esta era digital, las organizaciones que utilizan
sistemas tecnolgicos para automatizar sus procesos o informacin deben de ser conscientes
de que la administracin del riesgo informtico juega un rol crtico.
La meta principal de la administracin del riesgo informtico debera ser proteger a la
organizacin y su habilidad de manejar su misin no solamente la proteccin de los
elementos informticos. Adems, el proceso no solo debe de ser tratado como una funcin
tcnica generada por los expertos en tecnologa que operan y administran los sistemas, sino
como una funcin esencial de administracin por parte de toda la organizacin.
Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad,
considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a
grandes rasgos que la administracin de riesgos es el proceso de identificacin, evaluacin y
toma de decisiones para reducir el riesgo a un nivel aceptable.
El anlisis de riesgo informtico es un elemento que forma parte del programa de gestin de
continuidad de negocio (Business Continuity Management)
En el anlisis de riesgo informtico es necesario identificar si existen controles que ayudan a
minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir,
la vulnerabilidad ser de riesgo no controlado.
Dentro de la evaluacin del riesgo es necesario realizar las siguientes acciones: Calcular el
impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el
riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de
forma cuantitativa (asignando pesos) de forma cualitativa (matriz de riesgos)
Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
Consideraciones[editar]
No se olvide que en las empresas la seguridad comienza por dentro. Capacitando al personal,
creando normas basadas en estndares, analizando brechas y puntos ciegos en la seguridad
lgica y en la seguridad de sistemas de informacin.
Es fundamental la creacin de escenarios de conflicto en forma continua participando la
gerencia de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden
lograrse medidas para evitar eventos de seguridad.
Elementos relacionados[editar]
Activo. Es un objeto o recurso de valor empleado en una empresa u organizacin
Anlisis. Examinar o descomponer un todo detallando cada uno de los elementos que
lo forman a fin de terminar la relacin entre sus principios y elementos.
Herramientas de apoyo[editar]
Existen varias herramientas en el mercado con las que se puede uno apoyar a la hora de
evaluar los riesgos, principalmente en el proceso de evaluacin de los mismos. Una vez
terminado este proceso se debe documentar toda la informacin recabada para su anlisis
posterior. La herramienta que debemos seleccionar debe contener al menos un mdulo de
recoleccin de datos, de anlisis de los mismos y otro de reportes. La importancia de un buen
anlisis y una buena presentacin de los datos analizados nos llevarn a una efectiva
interpretacin de la situacin actual de los riesgos y por ende, la seleccin de los controles
que debemos implementar ser la ms acertada en el proceso de seleccin, ahorrando costos
en productos y costos de operacin adems del ahorro de tiempo.
ISO 31000: Esta normativa establece principio y guas para disear, implementar
mantener la gestin de los riesgos en forma sistemtica y de transparencia de toda forma
de riesgo, por ejemplo: financiera, operativa, de mercadeo, de imagen, y de seguridad de
informacin.
Citicus One: software comercial de Citicus, implementa el mtodo FIRM del Foro de
Seguridad de la Informacin;
Herramientas comerciales[editar]
GxSGSI: Herramienta de Anlisis y Gestin de Riesgo basada en Magerit
y homologada por la Agencia Europea de Seguridad de la Informacin (ENISA).1