Análisis y Gestión de Riesgos

¿Qué es?

La primera fuente para que una organización identifique sus necesidades de seguridad es la valoración de sus riesgos. La forma de abordar esta valoración es mediante la realización de un análisis de riesgos formal y metodológico.

El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas. Se ha de poder obtener una evaluación económica del impacto de estos sucesos negativos. Este valor se podrá utilizar para contrastar el costo de la protección de la Información en análisis, versus el costo de volverla a producir (reproducir), dentro de un plan de acción adecuado (Gestión de riesgos), donde se desarrollaran estrategias para mitigar el riesgo que incluyan transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular.

 

¿A quién afecta?

Teniendo en cuenta que gran parte del valor de toda organización pequeña, mediana o grande de Administración Privada o Pública es la información que posee y debido a la velocidad a la que se está produciendo los cambios en la gestión de los sistemas de información, conllevan a las Empresas a tratar de solucionar los problemas de la forma más rápida posible. Por lo cual es imperante que se identifiquen las relaciones funcionales entre los distintos activos de información y se analicen todas las posibles contingencias que pueden presentarse, pudiendo con esta información elegir de forma más precisa las herramientas de seguridad necesarias para garantizar los requisitos de seguridad deseados sobre sus sistemas. Para ello, la concienciación de los altos directivos en la importancia que tienen estas tareas es un primer paso y son ellos quienes deben establecer los requisitos de seguridad de los sistemas de información que manejan.

Start Up, propone la metodología desarrollada por el Consejo Superior de Informática sobre el "Análisis y Gestión de Riesgos de los Sistemas de Información", denominada MAGERIT. Esta metodología desarrollada para el impulso de la Administración Electrónica aporta una vertebración sistemática al proceso de análisis de riesgos.

Resultados y entregables

Como resultado de este análisis de procesos se entregará un informe detallado de análisis de riesgos, incluyendo:

Modelo de valor

Mapa de riesgos

 

¿Para qué sirve?

El objetivo del análisis de riesgos es disponer de un diagnóstico del estado actual de riesgo, que sirva, primero para categorizar las vulnerabilidades halladas por su impacto económico y segundo para establecer unas medidas o salvaguardas de seguridad proporcionales a los riesgos establecidos y al valor de los elementos a proteger.

El análisis de riesgos es uno de los requisitos indispensables para establecer un Sistema de Gestión de la Seguridad de la Información.

 

¿Qué implicaciones tiene?

En la evaluación del riesgo se tendrá en cuenta los siguientes elementos de seguridad:

  • Conocimiento del entorno y del alcance del proyecto.
  • Activos a proteger Identificación y valoración de Activos (inventario)
  • Amenazas sobre los activos Identificación de amenazas y vulnerabilidades.
    • Personas, cosas o eventos.
  • Impacto de la materialización de las amenazas.
  • Riesgo que se corre en un sistema real.
    • El riesgo nunca es nulo, sino un compromiso.
  • Contramedidas o salvaguardas que...
    • Reducen las oportunidades o
    • Limitan el impacto.
 

Ventajas de su aplicación

El Análisis y Gestión de Riesgos aporta una información muy útil tanto a altos directivos que pueden conocer de forma más precisa cual es el entorno de su sistema de información y por tanto tomar mejores decisiones como a las áreas técnicas, a las que proporciona medios de diagnóstico de sistemas, pudiendo seleccionar los mecanismos de salvaguarda que optimicen la inversión en Seguridad Informática con la que se dote a la organización en su presupuesto.

 

Clientes ENS/ENI

Ver Todos

Nuestras Certificaciones

Ver Certificaciones

Newsletter (Ver anteriores)

Apúntate a nuestro Newsletter

Jornadas

Jornadas y eventos organizadas o en los que participa Start Up

Ver Jornadas

Ver Publicaciones

Guía de Implantación del ENS

Cómo implantar un SGSI según UNE-ISO/IEC 27001:2014 y su aplicación en el Esquema Nacional de Seguridad

Ver Guías