resumen análisis y gestión de riesgos marcos castro franco
TRANSCRIPT
Resumen análisis y gestión de riesgos
Marcos Castro Franco
El proceso de gestión de riesgos evalúa de forma previa los riesgos de un sistema con el fin de preparar los medios necesarios para evitar la amenaza, reducir su impacto o restaurar el sistema.
Los recursos son los activos a proteger del sistema informático, dividiéndose en hardware, software, elementos de comunicaciones, información, locales y oficinas, usuarios y, por último, la imagen y reputación de la empresa.
Las amenazas son sucesos accidentales o intencionados al sistema que pueden causar pérdidas a la organización, pudiéndose clasificar en naturales, de agentes externos o internos, accidentes, errores y actuaciones malintencionadas.
Las vulnerabilidades son debilidades en el sistema que permiten a las amenazas causar daños y pérdidas a la organización, pudiendo ser por fallos físicos o lógicos, defectos en los equipos, aspectos organizativos, por el factor humano y por el entorno.
Un incidente de seguridad es la materialización de una amenaza, que causa o puede causar la interrupción de los servicios del sistema y pérdidas a la empresa.
El impacto es la medición y valoración del daño que causaría un incidente de seguridad a la empresa, teniendo en cuenta los daños tangibles e intangible, dividiéndose en alto, moderado y bajo.
Un riesgo es la posibilidad de que una amenaza se materialice en una vulnerabilidad del sistema, causando un impacto sobre la empresa, evaluando los activos, amenazas, vulnerabilidades, impactos y niveles de riesgo.
Las defensas, salvaguardas o medidas de seguridad son los medios usados para eliminar o reducir riesgos, vulnerabilidades, amenazas e impactos.
Una medida de seguridad activa es una medida usada para anular o reducir el riesgo de una amenaza antes o durante el incidente, clasificándose en medidas de prevención y de detección, mientras que una pasiva o de corrección se usa para reducir el impacto después del incidente.
La defensa física implica el control de acceso físico a los recursos y condiciones ambientales, mientras que la defensa lógica ofrece una protección por medio de herramientas y técnicas informáticas.
El nivel de riesgo residual señala el punto en el que ya no sería beneficiosos para la empresa reducir el nivel de riesgo.
La transferencia de riesgo a terceros deja escoger entre contratar una póliza de seguros contra ataques a la seguridad, que exige un determinado nivel de seguridad, o contratar a un proveedor de seguridad de sistema.