You are on page 1of 6

Esquemas de Seguridad Informtica

Anlisis de Riesgos
Definicin
Podemos definir el riesgo como: la posibilidad de que ocurra algn
evento negativo para las personas y/o empresas. Ya que cualquier
persona o entidad est expuesta a una serie de riesgos derivados de
factores internos y externos, tan variables como su propio personal, su
actividad, la situacin econmica, la asignacin de sus recursos
financieros o la tecnologa utilizada (Rodrguez, 1995).
Los equipos de cmputo que habitualmente se utilizan en las empresas
estn sujetos al riesgo de que ocurra alguna eventualidad que los dae y
debido a que no existe una seguridad total y las medidas de seguridad no
pueden asegurar al 100% la proteccin en contra de las vulnerabilidades,
es imprescindible realizar peridicamente en una organizacin, un
anlisis de riesgos, para identificar las consecuencia probables o los
riesgos asociados con las vulnerabilidades, y as, lograr un manejo de
riesgo tras la implementacin y mantenimiento de controles que reduzcan
los efectos de ste a un nivel aceptable.
El anlisis de riegos proporciona herramientas tiles para cuantificar el
riesgo y evaluar si este anlisis es adecuado, tomar medidas para
reducirlo, adems intenta mantener un balance econmico entre el
impacto de los riesgos y el costo de las soluciones de un programa
efectivo de seguridad destinadas a manejarlos.
Esquemas de Seguridad Informtica
Anlisis de Riesgos Tipos de anlisis del riesgo
Una de las principales funciones del anlisis del riesgo de seguridad es
poner este proceso sobre una base ms objetiva.
Existen dos tipos esenciales del anlisis del riesgo:

1. Anlisis cuantitativo del riesgo
Anlisis cuantitativo del riesgo
Todos los activos, sus recursos y los controles se identifican, y se
evalan en trminos monetarios. Todas las amenazas potenciales se
identifican y se estima la frecuencia de su ocurrencia, estas amenazas
se comparan con las vulnerabilidades potenciales del sistema de tal
forma que se identifiquen las reas que son sensibles.
Posteriormente el anlisis cuantitativo del riesgo hace uso del trmino
Expectativa de Prdida Anual (ALE) o Costo Anual Estimado (EAC), el
cual es calculado para cierto acontecimiento simplemente
multiplicando la frecuencia de la ocurrencia de la amenaza por el valor
del activo o clasificacin del dao. Para esto, es necesario recolectar
con detalle estimaciones exactas utilizando tcnicas matemticas y
estadsticas.
De esta forma se puede decidir si los controles existentes son
adecuados o si se requiere la implementacin de otros, esto se
observa cuando el producto obtenido tras multiplicar el valor del activo
por la frecuencia de la ocurrencia de la amenaza en un perodo de
tiempo determinado por la duracin del control es menor que el costo
de dicho control.
Los problemas con este tipo de anlisis de riesgo se asocian
generalmente a la falta de fiabilidad y a la inexactitud de los datos y
algunas veces puede interpretarse errneamente los resultados.


2. Anlisis cualitativo del riesgo

Consideraciones y Relaciones del Anlisis de Riesgos
En un proceso de anlisis del riesgo debe considerarse la siguiente
terminologa:
1. Activo: es todo aquello con valor para una organizacin y que necesita
proteccin datos infraestructura, hardware, software, personal y su
experiencia, informacin, servicios-.
2. Riesgo: posibilidad de sufrir algn dao o prdida.
3. Aceptacin del riesgo: decisin para aceptar un riesgo.
4. Anlisis de riesgo: uso sistemtico de informacin disponible para
identificar las fuentes y para estimar qu tan seguido determinados
eventos no deseados pueden ocurrir y la magnitud de sus
consecuencias. Uso sistemtico de la informacin para describir y
calcular el riesgo (ver tabla 5.3). Evaluacin de amenazas y
vulnerabilidades de la informacin y su impacto (ver tabla 5.4) en el
procesamiento de la informacin as como su frecuencia de ocurrencia
(ver tabla 5.5).
Tabla 5.3 Un ejemplo de la escala del riesgo

Tabla 5.4 Un ejemplo de impacto del acontecimiento


Tabla 5.5 Un ejemplo de la frecuencia de ocurrencia de un acontecimiento



1. Manejo de riesgo: proceso de identificacin, control y minimizacin o
eliminacin de riesgos de seguridad que pueden afectar sistemas de
informacin, por un costo aceptable.

2. Evaluacin del riesgo: comparacin de los resultados de un anlisis del
riesgo con los criterios estndares del riesgo u otros criterios de decisin.
3. Impacto: prdidas como resultado de la actividad de una amenaza,
las prdidas son normalmente expresadas en una o ms reas de
impacto destruccin, denegacin de servicios, revelacin o
modificacin-.

4. Prdida esperada: el impacto anticipado y negativo a los activos
debido a una manifestacin de la amenaza.

5. Vulnerabilidad: una condicin de debilidad.

6. Amenaza: una accin potencial (que puede suceder o existir, pero
no existe an) con la posibilidad de causar dao.

7. Riesgo residual: el nivel de riesgo que queda despus de la
consideracin de todas las medidas necesarias, los niveles de
vulnerabilidad y las amenazas relacionadas. ste debe ser aceptado
como es o reducirse a un punto donde pueda ser aceptado.

8. Control: son los protocolos y mecanismos de proteccin que
permiten el cumplimiento de las polticas de seguridad de la
organizacin

Consideraciones y Relaciones del Anlisis de Riesgos
Un anlisis de riesgo de seguridad es un procedimiento para estimar el
riesgo de los activos de cmputo relacionados y la prdida debido a la
manifestacin de las amenazas. El procedimiento primer determina el
nivel de vulnerabilidad del activo tras identificar y evaluar el efecto de los
controles colocados en el lugar. Un nivel de vulnerabilidad de activo para
cierta amenaza se determina con controles que se encuentran en el lugar
en el momento en el que se realiza el anlisis del riesgo.
Un anlisis de riesgos de seguridad define el ambiente actual y realiza
acciones correctivas recomendadas si el riesgo residual no es aceptable;
es un parte virtual de cualquier programa de manejo de riesgo de
seguridad. El proceso de anlisis de riesgo debe ser realizado con
suficiente regularidad para asegurar que cada aproximacin del manejo
del riesgo de la organizacin sea respuesta real a los riesgos actuales
asociados con la informacin de sus activos. El manejo de riesgos debe
decir si acepta el riesgo residual o implementa las actividades
recomendadas.
Las relaciones entre lo elementos de un anlisis del riesgo se muestra en
la figura 5.13.



Figura 5.13 Relaciones entre los elementos de un anlisis de riesgo.
El objetivo del anlisis de riegos es tener capacidad de:
Identificar, evaluar y manejar los riesgos de seguridad.

Estimar la exposicin de un recurso a una amenaza determinada.

Determinar qu combinacin de medidas de seguridad proporcionar un
nivel de seguridad razonable a un costo aceptable.

Tomar mejores decisiones en seguida de la informacin.

Enfocar recursos y esfuerzos en la proteccin de activos

You might also like