Analisis de riesgo informatico
Descargar como DOCX, PDF0 recomendaciones7,782 vistas
El documento describe el análisis de riesgos informáticos como un proceso para identificar activos, vulnerabilidades, amenazas y su probabilidad de ocurrencia e impacto para determinar los controles necesarios. Incluye identificar activos, requisitos legales y de negocio relevantes, valorar activos considerando pérdida de confidencialidad, integridad y disponibilidad, e identificar amenazas y vulnerabilidades importantes.
Analisis de riesgo informatico
- 1. ANÁLISIS DE RIESGO El análisis de riesgo, también conocido como evaluación de riesgo o PHA por sus siglas en inglésProcess Hazards Analysis, es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir. Análisis de Riesgos Informáticos El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo Como se describe en el BS ISO / IEC 27001:2005, la evaluación del riesgo incluye las siguientes acciones y actividades. Identificación de los activos Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos Valoración de los activos identificados Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad. Identificación de las amenazas y vulnerabilidades importantes para los activos identificados. Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir. Cálculo del riesgo. Evaluación de los riesgos frente a una escala de riesgo preestablecidos '
- 2. ELEMENTOS ACTIVO: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. AMENAZA: Es un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. IMPACTO: consecuencia de la materialización de una amenaza. RIESGO: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización. VULNERABILIDAD: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo. ATAQUE: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. DESASTRE O CONTINGENCIA: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio PUESTA EN MARCHA DE UNA POLÍTICA DE SEGURIDAD Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene: Elaborar reglas y procedimientos para cada servicio de la organización. Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos. Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la política de seguridad definida. Además, como el administrador suele ser el único en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e información relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la comunicación a los trabajadores sobre problemas y recomendaciones en término.