jueves, 22 de enero de 2015

¿Qué es y cómo hacer una Gestión de Riesgo Informático?

La gestión de riesgo es un enfoque estructurado para manejar la incertidumbre, es decir la posibilidad de que ocurra o no un riesgo, y evitara que ocurran eventos no deseados. Dado el caso que el riesgo se haga realidad, para ello se pueden llevar a cabo una secuencia de actividades para evaluar el riesgo, mitigar el riesgo y estrategias para manejar el riesgo que incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular de tal forma que las posibles pérdidas y la posibilidad que se haga presente el riesgo se minimicen, en resumen la Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo.



Esta gestión en el campo informático busca sensibilizar en las empresas el tema de la seguridad informática y la gestión de los riesgo relacionados con el manejo de datos e información.

La gestión de riesgos tiene cuatro fases:
Análisis: en esta fase lo que se busca es conocer el sistema que se desea proteger conociendo sus vulnerabilidades y las amenazas a las que está expuesto con el objetivo de revelar el grado de riesgo del sistema.
Clasificación: Determina si los riesgos encontrados y los riesgos restantes son aceptables.
Reducción: establece e implementa las medidas de protección para la reducción de los riesgo encontrados en la fase del análisis, además  capacita los usuarios conforme a las medidas.
Control: analiza y evalúa el funcionamiento y efectividad de las medidas de protección implementadas en la fase de reducción, con el fin de mejorar las medidas que son ineficientes.
Estas fases están basadas en políticas de seguridad, normas y reglas institucionales y tiene la finalidad de potencializar las capacidades de una empresa disminuyendo las vulnerabilidades y limitando las amenazas con la finalidad de reducir el riesgo.

Los sistemas de información son vulnerables a una diversidad de amenazas y atentados por parte de personas que pueden o no pertenecer a la institución, en la que se puede destacar:
Amenazas naturales: Las instalaciones de procesos de datos se encuentran sometidas a todo tipo de amenazas y catástrofes (terremotos, riadas, tormentas, incendios, etc.) que pueden provocar la interrupción  del funcionamiento y, en muchos casos, la destrucción del sistema.
Problemas eléctricos y electromagnéticos: Los fallos del suministro eléctricos y las radiaciones electromagnéticas pueden alterar el funcionamiento de los equipos y los datos almacenados de forma magnética.
Sabotajes y actos terroristas: La concentración de la información y el control de numerosos sistemas, (tráfico aéreo, ferroviario, comunicaciones, sistemas energéticos, etc.) en los centros de proceso de datos los hace especialmente vulnerables a este tipo de actos que buscan paralizar la sociedad.
Software malintencionado: Abarca un conjunto diverso de programas (virus, gusanos, caballos de Troya, etc.) cuyos objetivos es adueñarse del  control del sistema operativo con el fin de provocar, en la mayoría de los casos, la destrucción de la información u otros tipos de daños a los sistemas informáticos.

Se deberían tener identificados y valorados los principales riesgos que pueden afectar los activos de información de la empresa. Pero, ¿es suficiente con saber que puede pasar?  La respuesta es no. Una vez identificadas las amenazas, lo más importante del análisis de riesgos es la identificación de controles ya sea para mitigar la posibilidad de ocurrencia de la amenaza o para mitigar su impacto.

Las medidas de control que puede asumir una empresa van a estar relacionadas con el tipo de amenaza y el nivel de exposición que represente para la información corporativa.


Por tanto los miembros de la organización se deben preocupar por establecer normas de seguridad al interior de la empresa para proteger la información, establecer una planificación formalizada para la seguridad informática y gestionar los medios necesarios para administrar correctamente la función de la seguridad informática.

No hay comentarios.:

Publicar un comentario