Post on 08-Apr-2016
description
•Riesgo: Probabilidad de ocurrencia de un
evento adverso.
•Amenaza: Causante de un evento
adverso (Virus)
•Vulnerabilidad: Debilidad frente a una
amenaza(No tener AntiVirus)
•Incidente: Materialización de un riesgo
•Impactos: Imagen, dinero, mercado, etc.
El análisis de riesgos informáticos es un proceso que
comprende la identificación de activos informáticos,
sus vulnerabilidades y amenazas a los que se encuentran
expuestos así como su probabilidad de ocurrencia y el impacto
de las mismas, a fin de determinar los controles adecuados
para aceptar, disminuir, transferir o evitar la ocurrencia del
riesgo.
La evaluación del riesgo incluye las siguientes actividades y
acciones:
Identificación de los activos.
Identificación de los requisitos legales y de negocios que son
relevantes para la identificación de los activos.
Valoración de los activos identificados.
Teniendo en cuenta los requisitos legales identificados de negocios
y el impacto de una pérdida de confidencialidad, integridad y
disponibilidad.
Identificación de las amenazas y vulnerabilidades importantes para
los activos identificados.
Evaluación del riesgo, de las amenazas y las vulnerabilidades a
ocurrir.
Cálculo del riesgo.
Evaluación de los riesgos frente a una escala de riesgo
preestablecidos.
Después de efectuar el análisis debemos determinar las acciones a
tomar respecto a los riesgos residuales que se identificaron. Las
acciones pueden ser:
Controlar el riesgo. Fortalecer los controles existentes y/o agregar
nuevos controles.
Eliminar el riesgo. Eliminar el activo relacionado y con ello se
elimina el riesgo.
Compartir el riesgo. Mediante acuerdos contractuales parte del
riesgo se traspasa a un tercero.
Aceptar el riesgo.- Se determina que el nivel de exposición es
adecuado y por lo tanto se acepta.
Margerit.
Coras
NIST SP 800-30
Octave