Gestión de riesgos

Por: Karla del Rosario Martín Castillo

Es la probabilidad de ocurrencia de un evento o condición indeseable y la significancia de la consecuencia de dicha ocurrencia.

Puede referirse a numerosos tipos de amenazas causadas por: el medio ambiente, la tecnología y los seres humanos.

Riesgos Conocidos:Aquellos que han sido identificados y analizados. Es posible establecer un plan específico para atenderlos.

Riesgos Desconocidos:No pueden ser administrados, no obstante, pueden atenderse mediante un plan de contingencia basado en experiencias.



Es el proceso sistemático para manejar la incertidumbre, es decir, la posibilidad de que ocurra un riesgo o no.

Es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo.

Se basa en la noción de que los riesgos deben tratarse de forma proactiva, que la gestión de riesgos forma parte de un proceso formal y sistemático que debe considerarse como una iniciativa positiva.

Busca anticipar posibles perdidas accidentales con el diseño e implementación de procedimientos que minimicen la ocurrencia de pérdidas o el impacto financiero de las pérdidas que puedan ocurrir.


Se basa en los siguientes aspectos:

La evaluación de los riesgos inherentes a los procesos informáticos.La evaluación de las amenazas ó causas de los riesgos.Los controles utilizados para minimizar las amenazas a riesgos.La asignación de responsables a los procesos informáticos.La evaluación de los elementos del análisis de riesgos.


Cuenta con 4 fases basadas en políticas de seguridad, normas y reglas institucionales, que tienen la finalidad de potencializar las capacidades de una empresa disminuyendo las vulnerabilidades y limitando las amenazas con el resultado de reducir el riesgo.

1.Análisis

2.Clasificación

3.Reducción

4.Control


En esta fase lo que se busca es conocer el sistema que se desea proteger conociendo sus vulnerabilidades y las amenazas a las que está expuesto con la finalidad de conocer la probabilidad de que un riesgo se materialice.

Las amenazas empiezan a existir cuando están presentes las vulnerabilidades y en consecuencia a ellas da pie a los incidentes, hechos que se desea que sean evitados puesto que genera resultados negativos conocidos como impactos.


Durante este proceso se llevan a cabo los siguientes pasos:

1. Definir los activos informáticos a analizar (Confidencial, Privado, Sensitivo, Público).

2. Identificar las amenazas y determinar la probabilidad de ocurrencia de ellas (Baja, Media, Alta).

3. Determinar el impacto de las amenazas (Pérdida de la información, personas ajenas tiene acceso a la información, la información ha sido manipulada o está incompleta.

4. Recomendar controles que disminuyan la probabilidad de los riesgos.

Al definir las medidas de protección, debemos encontrar un equilibrio entre su funcionalidad (cumplir el objetivo) y el esfuerzo económico: suficientes, ajustados y optimizados.

Evitar escasez de protección, nos deja en peligro que

pueda causar daño

Evitar exceso de medidas y procesos de protección,

puede paralizar procesos operativos e impedir el

cumplimiento de la misión.



Establece e implementa las medidas de protección para la reducción de los riesgo encontrados en la fase del análisis, además sensibiliza y capacita los usuarios conforme a las medidas.

Divididos en:

Construcciones del edificio, planta

eléctrica, control de acceso, antivirus,

datos cifrados, contraseñas

inteligentes, etc.

Medidas físicasy técnicas

Contratación

Capacitación

Sensibilización

MedidasPersonales

Normas y Reglas

Seguimiento de control

Auditoría

MedidasOrganizativas

Consideraciones sobre las Medidas de Protección:

1.Su fuerza y alcance depende del nivel de riesgo.

Alto riesgo Deben evitar el impacto y daño.

Medio riesgo Solo mitigan la magnitud del daño.

2. Se debe verificar su funcionalidad (que cumplan su propósito).

-Respaldadas y aprobadas por la coordinación.

-Que no paralicen u obstaculicen los procesos operativos.

3. Deben estar fundadas en normas y reglas.

-Integrado en el funcionamiento operativo institucional.

-Regular su aplicación, control y sanciones por incumplimiento. Por: Karla del Rosario Martín Castillo


Analiza y evalúa el funcionamiento, la efectividad y el cumplimiento de las medidas de protección implementadas en la fase de reducción, para determinar y ajustar las medidas deficientes y sancionar el incumplimiento.

Debemos:

Levantar constantemente registros sobre la ejecución de las actividades, los eventos de ataques y sus respectivos resultados y analizarlos frecuentemente.

Sancionar el incumplimiento y sobrepaso de las normas y reglas, dependiendo de su gravedad.

Retroalimentar el proceso de la gestión de riesgos con los resultados obtenidos en ocasiones anteriores.


Seguridad de la Información [en línea]. Wikipedia.Publicado 7 de agosto de 2008, actualizado 10 de octubre de 2011. <http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n>[Consulta 12 de octubre de 2011]

Sistema de Administración de riesgos en tecnología informática [en línea].Autor: Alberto Cancelado González.Publicado 16 de noviembre de 2004. <http://www.monografias.com/trabajos14/riesgosinfor/riesgosinfor.shtml>[Consulta 12 de octubre de 2011]

Gestión de riesgos informáticos [en línea].Autor: Andrea Moreno Avellaneda.Publicado 2 de febrero de 2011.<http://gestionriesgos2011.blogspot.com/2011/02/gestion-de-riesgos-informaticos.html>[Consulta 12 de octubre de 2011]

Gestión de riesgo en la seguridad informática [en línea].Autor: Markus Erb.<http://protejete.wordpress.com/gdr_principal/gestion_riesgo_si/>[Consulta 12 de octubre de 2011]

Gestión de riesgos

Technology

Transcript of Gestión de riesgos