» Amenazas y Administracion de Riesgos La adiministractén de riexgos es ch proceso mediance el cual se identitica, eval y se in prioridad a las arnenazas y Yos siesgos. Un riesge es definido generalmente como a ‘obabilided de que ocurra un evento. Bn la realidad, las empresas sso escin prevcapadas Feros HeSgor ue fodrian eener un impacto nepativo sobre el earorno informatica Por {jemplo, existe una probabilidad de que pudiera ganar la lterfa el viernes, pero eo 90 & tin Fleggo que so empresa aborde de manera activa, porque serfa algo positivo. Mis bien, Si empresa podria estar més preocupada por el tipo especifico de riesuo que se conoce Como ina dineuaza, el cual 65 definido como una accidn 9 suceso que padiese esular en Ia violacién, corte © corrupcién de un siseema medianre la explotacién de vulnerabilidades conocidas 0 desconocidas. Generelmente, cuando alguien se refiee a a administracién de Fiesgos, se eaté enfocando en este tipo de riesgo negativo. El objetivo de cualguies plan de ddminiseracién de riesgos es el de eliminar las amenazas siempre que esto sea posible y el de minimizar las consecuencias de las que no pueden ser eliminadas. El primer paso para la creacién de un plan para la adminiseracién de riesgos es llevar a cabo uns enaluactéin. ‘Tas evaluaciones de riesgos generalmence se utilizan para idencificar los peligeos que ‘pudieran tener un impacto sobre un entorno en particular.© teccion ae sITESED © DEN ING.LIZBETH NDEZ FRAIL E12 FEL 0 1 Towa Nota Enun antorno desarrallado de evaluacién de riesgos es comin rogistrarios, debiéo a que su oportuna decumentacién proporciona un mecanismo formal para revisar sus Impactas, ccontroles y cualquier otva informacién requerida por el programa de adminisracién de riesgos. Una vec que ha terminado su evaluaciga ¢ identificado sus riesuos, es necesario que valore cada riesgo en busca de dos faccores: primero, debe decermivar le probabilidad Se que un siesgo purse ocumif én su entomo, por ejemplo, & mucho ts probable ‘ae tas voemade-octrer EaKahioma que en Vermont. No es muy probable que caiga tun meteorico en algiin lugar, sin embargo, es un ejemplo que se utiliza comlamence para representar la pérdida coral de une instalacia, al hablar de riesgos. Una vez que hha determinado la probabilidad de un riesgo especifico, debe determinas el impacto que «se riesgo cenda sobre su entorno. Por.ejemplo, un Virus en la estacién de eribajo dé Ga ‘“TWuario genenalmence Gene Poco impacto sobee la empress (ain cusndo sf constieuye un alco impacto para el usuario). Un virus en su sistema finatcievo tiene un impacto general mucho mayor, aunque se espera que sea una probabilidad mucho menos, ‘Una yeu que ha evaluado sus riesgos, Lega ef momento de darles una prioridad. Uno de los saejores mecanisinos para ayudacle a establecer prioridades, es la.creacién de und{matriz ED cual pict ot Desa pra Uveonrar una lagacin Ue acca global, ‘Una martiz de riesgos debe incluir los siguientes element + Elriesgo + Laprobsbilidad de que realmente ocurra el riesgo + Blimpacto del riesgo + Una puneusciéi total de riesgo + El duetio del proceso afeceado (persona, equipo o departamento) por el riesgo + Tos principios de seguridad bésicos afectados por et riesgo, confidencialidad, incegridad y/o disponibilidad. + La cserategia o estrategias apropiadas para hacer frence al riesgo. Algunos campos adicionales que podrian ser de utilidad en su regisero de riesgos son los siguientes: © Una fecha cuando el riesgo que debe ser abordaco + Documentacién con relaci6n al siesgo residual (p. ej, el riesgo que queda después dde que se han comado las medidas para reducir la probabilidad o minimizar el efecto de un evento). © El cscatus de la estrategia o estracegias que se urilizan para abordar el riesgo; eto [puede incluir indicadores tales como “Planeacién” “en Espera de Aprobacién’, “Implementacién” y “Completa”. Una forma sencilla para calcular usa puntuaciéa total de riesgo ¢s la de asignar valores ‘numéricas a su probebilidad e impacto. Por ejemplo, puede clasiicar la probabilidad y el lnnpacto sobre la base de una escala de 1 al 5, donde 1 equivele a una baja posibilidad y 5 equivalea un alco impacto. A continvacién, puede ruleiplicar en conjunto la probabilidad yel impacto parm generar una puntuaeién toral de riesgo. Mediance la clasificacién de ‘mayor 2 menor, cuenta con un método ficil para dar una psioridad inicial a sus riesgos. ‘A continuacién, debe repasar los riesgos especificos para devecminar el orden final en que desea abordarlos. En este punto, és posible que se encuentre con factores externas, tales ‘como costos o recursos disponibles, que afecten sus prioridades.AGRON 1 Tes oe oo ‘ g LIZ Lae ere oer 0 FR. ADLA2E 12 74) 3 t A les Firewalls = Capos deSeqirided 5 Una vez que ha dado prioridad a sus iesgos, std listo para elegir ence las cuatro respuestas generalmence acepratas para éstos. Estas incluyen: + Bvicar = Acepear © Mitigar © Transfesir Evitar riesgos es el proceso de eliminar una probebilidad al optar por oo pacticipar en tuna aceién © actividad. Un ejemplo de evitar riesgos es cuando una persona que sabe ‘que existe una posibilidad de que el valor de una accién pusdiera caer, decide evicar ef riesgo al no comprar IajacciGn. Un problema que surge cuando evitamos un riesgo es que ‘con frecuencia hay una recompensa asociada al mismo, por lo canto, si evita el riesgo, cambién esti evitando la recompensa. Por ejemplo, si la accién en el ejemplo anceriorfuese a criplicar su precio el inversionista con aversi6n al riesgo perderia la recompensa debido 8 que quiso evitaclo. “ Aceptar riesgos excl acto de identificar, para posteriormente tomar una decisi6n informada e acepcar la probabilidad y el impacto de un riesgo especifico. Para utilizar nuevamente 1 ejemplo de la accividad, el acepeas riesgos es el proceso mediante el cual un comprador analiza cabalmence a una empresa en cuyas acciones est inceresudo y después de considerar sca informaciGn, coma la decisiGn de aceptar el riesgo de que pusiese cazr el precio de ‘Mitigar ef riesgo consiste en tomar medidas para reducir la probabilidad o el impacto de un riesgo. Un ejemplo comiin de mitigacion es el uso de discos duros redunduntes en un servidor. En todos los sistemas existe el riesgo de una falla del disco duro. Mediante el uso de una arquitectura de matriz redundante de discos, puede mitigar el riesgo de una fala cen una de las unidades al tener un disco de respaldo. En ocras palabras, aunque cuando el riesgo concinta existiendo, sus acciones lo han reducido, ‘Trausferir ef riesgo ¢s el acto de tomar medidas para pasar la responsubilided por un riesgo a un tercero mediante un seguro o una subcontrancién. Por cjemplo, existe un riesgo que pueda sufrir un aecidente al estar conduciendo su aucomévil. Asf, tranfiere ese riesgo al adquirir un seguro, de manera que en caso de un accideate, su compaiia de seguros es la responsable por pagar la mayoria de los costos relacionados con el accidente. Como se mencioné anreriormente, otro concepro importante en la administracién de fesse lng reid ego eto a ener cue aa dsp egies han tomas medidas pac educa probabil a minima el efeeco ie particular. Para concisuar cam ejemplo del seguro del aacomévil, Ss HESROTesidual en el ‘aso de un accidente seria el dedacible que debe pagar ances que su compafia aseguradora se haga cargo de la responsabilidad por el resto del dao. Tome tora Exston muchas diferenies mneras far ESTs avatar War pla a 1s Has) [Ne exists una manera corectUilce ls téenlcas que mejor se adepten as efomoy sus ‘Recesidades. ‘Ahora, como parte de muesero anilisis de riesgo, también debemos de tener en cuenta dos conceptos finales que le ayudarin a entender los fundamentos de los principios de seguridad y de adminiseracién de riesgos: el principio de minimo privilegio, y Ia idea de nna superficie de araque.