ANÁLISIS DE RIESGO
Hace parte del sistema de gestión de riesgo tener la seguridad de la información es necesario para el funcionamiento de las empresas se debe saber cuales son los puntos vulnerables de los activos informáticos y cuales son las amenazas que pueden explotar esas falencias. Si se conocen los riesgos se pueden establecer las medidas preventivas y correctivas que garanticen niveles de seguridad mas altos y mejores en la información
las metodologías parten de un punto común:
- la identificación de los activos de información (todos los recursos involucrados en la gestión de la información datos, hadware, documentos escritos, recurso humano) sobre esto se hace la identificación de las amenazas , riesgos y vulnerabilidades
La amenaza se define como el evento que puede afectar los activos de informacióny se relacionan al recurso humano, eventos naturales o fallas técnicas
Una
vulnerabilidad es una característica de un activo de información y que
representa un riesgo para la seguridad de la información. Cuando se materializa
una amenaza y hay una vulnerabilidad que pueda ser aprovechada hay una
exposición a que se presente algún tipo de pérdida para la empresa.
Para que la empresa pueda
tomar decisiones sobre cómo actuar ante los diferentes riesgos es necesario
hacer una valoración para determinar cuáles son los más críticos para la
empresa. Esta valoración suele hacerse en términos de la posibilidad de
ocurrencia del riesgo y del impacto que tenga la materialización del riesgo.
La
valoración del impacto puede medirse en función de varios factores: la pérdida
económica si es posible cuantificar la cantidad de dinero que se pierde, la
reputación de la empresa dependiendo si el riesgo pueda afectar la imagen de la
empresa en el mercado o de acuerdo al nivel de afectación por la pérdida o daño
de la información.
Lo más
importante del análisis de riesgos es la identificación de controles ya sea
para mitigar la posibilidad de ocurrencia de la amenaza o para mitigar su
impacto. Las medidas de control que puede asumir una empresa van a estar
relacionadas con el tipo de amenaza y el nivel de exposición que represente
para la información corporativa.
Una empresa puede afrontar un
riesgo de cuatro formas diferentes
aceptarlo: Si un riesgo no es lo suficientemente crítico para la empresa ser consciente de que el riesgo existe y hacer un monitoreo sobre él
transferirlo o mitigarlo: Si el riesgo representa una amenaza importante para la seguridad de la información
Evitarlo: Evitar
el riesgo, eliminando los activos de información o la actividad asociada.
La gestión de riesgos debe
garantizarle a la empresa la tranquilidad de tener identificados sus riesgos y
los controles que le van a permitir actuar ante una eventual materialización o
simplemente evitar que se presenten.
Otra manera de identificar condiciones de riesgo es a través de árboles de amenaza, que son estructuras lógicas para visualizar combinaciones de eventos y que consideran amenazas a través de medios técnicos y físicos, con actores internos o externos, por motivos accidentales o intencionales, que pueden provocar alguna consecuencia como la divulgación, modificación, interrupción o destrucción de un activo de información
