Anlisis de Riesgos Informticos

El anlisis de riesgos informticos es un proceso que comprende

la identificacin de activos informticos, sus vulnerabilidades y
amenazas a los que se encuentran expuestos as como su probabilidad
de ocurrencia y el impacto de las mismas, a fin de determinar los
controles adecuados para aceptar, disminuir, transferir o evitar la
ocurrencia del riesgo.
El proceso de anlisis de riesgo genera habitualmente un documento al
cual se le conoce como matriz de riesgo. Como se describe en el BS
ISO / IEC 27001:2005, la evaluacin del riesgo incluye las siguientes
acciones y actividades.
Identificacin de los activos
Identificacin de los requisitos legales y de negocios que son
relevantes para la identificacin de los activos
Valoracin de los activos identificados
Teniendo en cuenta los requisitos legales identificados de
negocios y el impacto de una prdida de confidencialidad,
integridad y disponibilidad.
Identificacin de las amenazas y vulnerabilidades importantes
para los activos identificados.
Evaluacin del riesgo, de las amenazas y las vulnerabilidades a
ocurrir.
Clculo del riesgo.
Evaluacin de los riesgos frente a una escala de riesgo
preestablecidos '

ELEMENROS
Activo. Es un objeto o recurso de valor empleado en una
empresa u organizacin
Amenaza. Es un evento que puede causar un incidente de
seguridad en una empresa u organizacin produciendo prdidas
o daos potenciales en sus activos.
Vulnerabilidad. Es una debilidad que puede ser explotada con
la materializacin de una o varias amenazas a un activo.
Riesgo. Es la probabilidad de ocurrencia de un evento que puede
ocasionar un dao potencial a servicios, recursos o sistemas de
una empresa.
Anlisis. Examinar o descomponer un todo detallando cada uno
de los elementos que lo forman a fin de terminar la relacin entre
sus principios y elementos.
Control. Es un mecanismo de seguridad de prevencin y
correccin empleado para disminuir las vulnerabilidades

Puesta en marcha de una poltica de seguridad

Generalmente se ocupa exclusivamente a asegurar los derechos de
acceso a los datos y recursos con las herramientas de control y
mecanismos de identificacin. Estos mecanismos permiten saber que
los operadores tienen slo los permisos que se les dio.
La seguridad informtica debe ser estudiada para que no impida el
trabajo de los operadores en lo que les es necesario y que puedan
utilizar el sistema informtico con toda confianza. Por eso en lo
referente a elaborar una poltica de seguridad, conviene:

 Elaborar reglas y procedimientos para cada servicio de la

organizacin.
Definir las acciones a emprender y elegir las personas a contactar
en caso de detectar una posible intrusin
Sensibilizar a los operadores con los problemas ligados con la
seguridad de los sistemas informticos.
Los derechos de acceso de los operadores deben ser definidos por los
responsables jerrquicos y no por los administradores informticos, los
cuales tienen que conseguir que los recursos y derechos de acceso sean
coherentes con la poltica de seguridad definida. Adems, como el
administrador suele ser el nico en conocer perfectamente el sistema,
tiene que derivar a la directiva cualquier problema e informacin
relevante sobre la seguridad, y eventualmente aconsejar estrategias a
poner en marcha, as como ser el punto de entrada de la comunicacin
a los trabajadores sobre problemas y recomendaciones en trmino de
seguridad informtica