Seguridad de Sistemas y Redes Universidad Centroamericana

Definición de riesgo Gestión de riesgos

riesgo. (Del it. risico o rischio, y este del ár. clás. rizq, lo que

depara la providencia). 1. m. Contingencia o proximidad de un daño.

2. m. Cada una de las contingencias que pueden ser objeto de un contrato de seguro.

a ~ y ventura. 1. loc. adv. Dicho de acometer una empresa o de celebrar

un contrato: Sometiéndose a influjo de suerte o evento, sin poder reclamar por la acción de estos.

correr ~ algo. 1. loc. verb. Estar expuesto a perderse o a no verificarse.

En informática…

Es la exposición de información privada provocada por la mala configuración, mal o funcionamiento de un software o hardware, también por la falta de políticas o normas para el uso de la información.

Si cumplimos lo anterior… ¿estaremos en riesgo de pérdida o filtración de información?

Aunque tenga las mejores políticas y tecnología los riesgos siempre existirán.

“Hombre o Mujer prevenida… vale por dos”

La meta a perseguir en seguridad informática

es "lo que no está permitido debe estar prohibido"

Los riesgos deben gestionarse bajo todo un proceso.

Según definición de (Areitio Bertolín, 2008) el

proceso de gestión de riesgos identifica y prioriza los peligros inherentes al desarrollo de un producto, sistema u organización.

“La gestión de riesgos… se define como el proceso que se encarga de identificar y cuantificar la probabilidad de que se produzcan amenazas y de establecer un nivel aceptable de riesgo para la organización.” (Areitio Bertolín, 2008, pág. 7)

Continua diciendo (Areitio Bertolín, 2008):

La valoración de riesgos es el proceso consistente en identificar los problemas antes que aparezcan.

En la gestión de riesgos, existe un factor incertidumbre asociado con la probabilidad de que aparezcan amenazas, que es diferente, dependiendo de cada situación.

Un incidente no deseado presenta tres componentes: amenaza, vulnerabilidad e impacto.

Los riesgos se atenúan con la implantación de salvaguardas, conocidas también como medidas, controles o contramedida. Estas pueden actuar contra la amenaza, vulnerabilidad, impacto o el propio riesgo.

Definición Razones para realizarlo

Para tratar de minimizar los efectos de un problema de seguridad, se realiza el denominado análisis de riesgo.

Es el proceso necesario para responder a tres cuestiones básicas:

¿Qué queremos proteger?

¿Contra quién o qué se quiere proteger?

¿Cómo lo vamos hacer?

Es un proceso consistente en identificar los peligros que afectan a la seguridad, determinar su magnitud e identificar las áreas que necesitan salvaguardas.

La valoración de riesgos es el resultado del proceso del análisis de riesgo.

El análisis de riesgo se aplica de forma continua. Es una técnica que permite: Identificar los activos y controles de seguridad.

Gestionar las alertas de los riesgos próximos.

Identificar la necesidad de acciones correctivas.

Proporcionar una guía de cara a los gastos de los recursos.

Relacionar el programa de control con la misión de la organización.

El análisis de riesgo se aplica de forma continua. Es una técnica que permite:

Proporcionar criterios para diseñar y evaluar planes de contingencia y de continuidad de negocios.

Mejorar la concienciación global sobre la seguridad a todos los niveles.

Un agente de amenaza es el método utilizado para explotar vulnerabilidades de un sistema, operación, instalación o servicio.

Las funciones de salvaguarda se materializan en mecanismo de salvaguarda, que son procedimientos o dispositivos físicos o lógicos que reducen el riesgo, en funciones preventivas y curativas.

Para cada mecanismo de salvaguarda, se toma en consideración en qué medida se cumplimenta esta función y el grado de implantación, a esto se le llama efectividad.

La gestión de riesgo es el proceso total de identificar, controlar, eliminar o minimizar los eventos inciertos que puedan afectar.

En la práctica existen dos enfoques básicos a la hora de realizar un completo análisis de riesgo: uno cuantitativo y otro cualitativo.

El enfoque cualitativo es de uso muy común en la actualidad, especialmente entre las nuevas empresas consultoras de seguridad.

Es más sencillo e intuitivo que el cuantitativo, ya que entran en juego la estimación de pérdidas potenciales y no las probabilidades exactas.

El enfoque cuantitativo es el menos utilizado, en muchos casos implica cálculos complejos o datos difíciles de estimar.

Se basa en dos parámetros fundamentales: la probabilidad de que se produzca un suceso y la estimación del coste o pérdidas.

A pesar de los inconvenientes hay empresas que han adoptado éxito utilizando este tipo de análisis.

Areitio Bertolín, J. (2008). Seguridad de la Información. Madrid: Paraninfo.

Gracias por su atención.