ANALISIS DE RIESGOS

¿QUE ES ANALISIS DE RIESGOS?

Es un paso importante para implementar la seguridad de la información.

Como su propio nombre lo indica, es realizado para detectar los riesgos a los
cuales están sometidos una organización, es decir, para saber cuál es la
probabilidad de que las amenazas ocurran.
 CATEGORIAS DE RIESGOS

•Riesgos del proyecto: Afectan la calendarización o los recursos del proyecto.

(falta de personal).

•Riesgos del producto: Afectan la calidad o el rendimiento del software que se

Esta desarrollando. (Los resultados no son los esperados).

•Riesgos del negocio: Afecta a la organización que suministra un software.

(Que un competidor introduzca un nuevo producto).
ETAPAS DEL ANALISIS DE RIESGOS
 IDENTIFICACION DEL PELIGRO
Raramente se consigue, sí acaso, una causa sencilla para una situación peligrosa o
un evento peligroso. Aunque la causa inmediata resulte ser una simple falla de un
equipo o un error humano, otros eventos habrán de ocurrir para permitir el
desarrollo de un accidente.

Tales eventos incluyen fallas no detectadas de los equipos de protección,

problemas ergonómicos y hasta de organización, en los cuales a la seguridad no se
le ha dado la prioridad adecuada.

En muchas maneras, la identificación de un peligro es la parte más importante

dentro de cualquier proceso de valoración de riesgos. De cualquier forma, para
poder llevar a cabo dicha identificación es necesario tener una definición precisa
de los equipos envueltos en el proceso en suficiente detalle. El conocimiento
completo del uso proyectado del equipo y su previsible mal uso resultan de
primordial importancia para completar este paso.
 IDENTIFICACION DEL PELIGRO

Un proyecto o proceso tiene un diseño de seguridad aceptable cuando se juzga

que la medidas preventivas y protectivas adecuadas han sido tomadas.

El término de "Medidas Adecuadas" se refiere a procedimientos de seguridad en

Ingeniería, producción, operación y mantenimiento generalmente aceptados en
relación con el riesgo envuelto. Este riesgo puede considerarse como de daño a
personas, Instalaciones o ambiente.
 EVALUACION DE RIESGOS

La evaluación de riesgo es probablemente el paso más importante en un proceso de

gestión de riesgos, y también el paso más difícil y con mayor posibilidad de cometer
errores.

Evaluación de riesgo es uno de los pasos que se utiliza en un proceso de gestión de

riesgos . El riesgo R se evalúa mediante la medición de los dos parámetros que lo
determinan, la magnitud de la pérdida o daño posible L, y la probabilidad p que
dicha pérdida o daño llegue a ocurrir.

Una vez que los riesgos han sido identificados y evaluados, los pasos subsiguientes
para prevenir que ellos ocurran, protegerse contra ellos o mitigar sus consecuencias
son mucho más programáticos.
 GESTION DEL RIESGO
La fase involucra juicios y negociaciones para resolver la cuestión de qué nivel
de riesgo es tolerable.

Se cuenta con varias técnicas para contestar esta pregunta, incluyendo el

análisis de la percepción del riesgo, el análisis de costo/beneficio y análisis de
decisiones.

Como en el caso de la evaluación de riesgos estas técnicas proporcionan un

mejor conocimiento del fenómeno pero también involucran incertidumbres.

Sin embargo, de todas maneras la decisión de considerar un riesgo como

aceptable genera controversia. Se tiene que formar un consenso y usar otros
medios para ampliar el involucramiento en el proceso de declarar un riesgo
como aceptable.
 AMENAZAS

•Las amenazas se pueden convertir en realidad a través de fallas de seguridad,

que se conocen como vulnerabilidades y que deben ser eliminadas al máximo
para que el ambiente que se desea proteger esté libre de riesgos de incidentes
de seguridad.

•Por lo tanto, la relación entre amenaza-incidente-impacto, es la condición

principal a tomar en cuenta en el momento de priorizar acciones de seguridad
para la corrección de los activos que se desean proteger y deben ser siempre
considerados cuando se realiza un análisis de riesgos.
PRETENDER ELIMINAR TODOS LOS RIESGOS DEL LUGAR DE TRABAJO

Otro punto importante a considerar en la realización del análisis de riesgos

es la relación costo-beneficio. Este cálculo permite que sean evaluadas las
medidas de seguridad con relación a su aplicabilidad y el beneficio que se
agregará al negocio.

Así, esta visión orienta la implementación de las medidas de seguridad

sólo en las situaciones en que la relación costo-beneficio se justifique.

Los efectos del riesgo pueden ser valorados como:

•Catastrófico
•Serio
•Tolerable
•Insignificante
 CONSIDERACIONES

•Riesgos físicamente imposibles de corregir

•Riesgos posibles, pero económicamente imposibles de corregir.

•Riesgos económica y físicamente corregible.

 PRIORIDADES

Si deseamos analizar los diferentes ámbitos de la empresa, es necesario que

tengamos conocimiento sobre cuáles vulnerabilidades son las más comunes.

• >¿Qué se quiere proteger?

• >¿Contra quién o qué se quiere proteger?

• >¿Cómo se quiere proteger?

GRACIAS