Seguridad de Sistemas y Redes

Universidad Centroamericana
Definicin de riesgo
Gestin de riesgos

riesgo.
(Del it. risico o rischio, y este del r. cls. rizq, lo que
depara la providencia).
1. m. Contingencia o proximidad de un dao.
2. m. Cada una de las contingencias que pueden ser objeto
de un contrato de seguro.
a ~ y ventura.
1. loc. adv. Dicho de acometer una empresa o de celebrar
un contrato: Sometindose a influjo de suerte o evento,
sin poder reclamar por la accin de estos.
correr ~ algo.
1. loc. verb. Estar expuesto a perderse o a no verificarse.

En informtica
Es la exposicin de informacin privada
provocada por la mala configuracin, mal o
funcionamiento de un software o hardware,
tambin por la falta de polticas o normas para el
uso de la informacin.
Si cumplimos lo anterior estaremos en
riesgo de prdida o filtracin de informacin?
Aunque tenga las mejores polticas y tecnologa
los riesgos siempre existirn.

Hombre o Mujer prevenida vale por dos

La meta a perseguir en seguridad informtica
es "lo que no est permitido debe estar
prohibido"
Los riesgos deben gestionarse bajo todo un
proceso.

Segn definicin de (Areitio Bertoln, 2008) el
proceso de gestin de riesgos identifica y
prioriza los peligros inherentes al desarrollo
de un producto, sistema u organizacin.


La gestin de riesgos se define como el
proceso que se encarga de identificar y
cuantificar la probabilidad de que se produzcan
amenazas y de establecer un nivel aceptable
de riesgo para la organizacin. (Areitio
Bertoln, 2008, pg. 7)


Continua diciendo (Areitio Bertoln, 2008):

La valoracin de riesgos es el proceso
consistente en identificar los problemas antes
que aparezcan.

En la gestin de riesgos, existe un factor
incertidumbre asociado con la probabilidad de
que aparezcan amenazas, que es diferente,
dependiendo de cada situacin.
Un incidente no deseado presenta tres
componentes: amenaza, vulnerabilidad e
impacto.

Los riesgos se atenan con la implantacin de
salvaguardas, conocidas tambin como
medidas, controles o contramedida. Estas
pueden actuar contra la amenaza,
vulnerabilidad, impacto o el propio riesgo.

Definicin
Razones para realizarlo

Para tratar de minimizar los efectos de un
problema de seguridad, se realiza el
denominado anlisis de riesgo.

Es el proceso necesario para responder a tres
cuestiones bsicas:
Qu queremos proteger?
Contra quin o qu se quiere proteger?
Cmo lo vamos hacer?
Es un proceso consistente en identificar los
peligros que afectan a la seguridad,
determinar su magnitud e identificar las reas
que necesitan salvaguardas.

La valoracin de riesgos es el resultado del
proceso del anlisis de riesgo.
El anlisis de riesgo se aplica de forma
continua. Es una tcnica que permite:

Identificar los activos y controles de seguridad.
Gestionar las alertas de los riesgos prximos.
Identificar la necesidad de acciones correctivas.
Proporcionar una gua de cara a los gastos de los
recursos.
Relacionar el programa de control con la misin
de la organizacin.
El anlisis de riesgo se aplica de forma
continua. Es una tcnica que permite:

Proporcionar criterios para disear y evaluar
planes de contingencia y de continuidad de
negocios.
Mejorar la concienciacin global sobre la
seguridad a todos los niveles.
Un agente de amenaza es el mtodo
utilizado para explotar vulnerabilidades de un
sistema, operacin, instalacin o servicio.

Las funciones de salvaguarda se materializan
en mecanismo de salvaguarda, que son
procedimientos o dispositivos fsicos o
lgicos que reducen el riesgo, en funciones
preventivas y curativas.

Para cada mecanismo de salvaguarda, se
toma en consideracin en qu medida se
cumplimenta esta funcin y el grado de
implantacin, a esto se le llama efectividad.

La gestin de riesgo es el proceso total de
identificar, controlar, eliminar o minimizar los
eventos inciertos que puedan afectar.

En la prctica existen dos enfoques bsicos a
la hora de realizar un completo anlisis de
riesgo: uno cuantitativo y otro cualitativo.

El enfoque cualitativo es de uso muy comn
en la actualidad, especialmente entre las
nuevas empresas consultoras de seguridad.

Es ms sencillo e intuitivo que el cuantitativo,
ya que entran en juego la estimacin de
prdidas potenciales y no las probabilidades
exactas.

El enfoque cuantitativo es el menos utilizado, en
muchos casos implica clculos complejos o
datos difciles de estimar.

Se basa en dos parmetros fundamentales: la
probabilidad de que se produzca un suceso y la
estimacin del coste o prdidas.

A pesar de los inconvenientes hay empresas que
han adoptado xito utilizando este tipo de
anlisis.

Areitio Bertoln, J. (2008). Seguridad de la
Informacin. Madrid: Paraninfo.

Gracias por su atencin.