Sunday, February 19, 2006

Principios del Análisis de Riesgos

A pesar de ser un procedimiento que se puede ejecutar de forma sistemática, en un análisis de riesgos es necesario realizar determinadas tareas y estimaciones de forma totalmente imparcial y objetiva:
  • Inventariar los activos existentes en la organización
  • Identificar las vulnerabilidades presentes en los activos
  • Estimar la probabilidad con la que las amenazas pueden explotar las vulnerabilidades de los activos.
  • Estimar el impacto en el negocio en caso de que ciertas amenazas se hagan efectivas.
  • Estimar si se puede asumir el riesgo o es necesario invertir en la implantación o actualización de controles de seguridad.

Si estos factores no se evalúan con total imparcialidad y objetividad, el análisis de riesgos no podrá cumplir su función con garantías, que es ayudarnos a tomar decisiones sobre cómo proteger nuestros activos. Por esta razón, es recomendable que el análisis de riesgos
sea ejecutado por un agente externo a la organización.

El análisis estará orientado a evaluar el nivel de riesgo existente para el cumplimiento dentro de la organización de los siguientes criterios:

  • Confidencialidad: significa garantizar que un activo sólo será accesible por usuarios o procesos legítimos y autorizados. Comprometer, agredir o atacar la confidencialidad de un activo significa acceder al mismo de forma no autorizada o ilegítima.
  • Integridad: significa garantizar que un activo sólo podrá ser manipulado o modificado por usuarios o procesos legítimos y autorizados.
  • Disponibilidad: significa garantizar la capacidad operativa de un activo en el proceso de negocio de la organización. Comprometer, agredir o atacar la disponibilidad
    significa impedir que el activo pueda cumplir su función asignada en el proceso de negocio de la organización.

0 Comments:

Post a Comment

<< Home