RIESGO Y CONTROL

JOSE GREGORIO CAMPO

EVALUACION DE RIESGO

 Levaluación del riesgo es un paso más importante al comienzo de su proyecto de seguridad de la

información, se establecen las bases para la seguridad de la información en su compañía.
 La pregunta sería ¿por qué es tan importante? Es simple, la principal filosofía de ISO 27001 es encontrar los
incidentes que puede ocurrir y la forma más apropiada para evitar los incidentes.
OBJETIVOS

 Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un

presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto,
garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados
por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los
cambios que se produzcan en los riesgos, el entorno y las tecnologías.
TIPOS ANÁLISIS DE RIEGOS

 Habiendo ya identificado y clasificados los riesgos, pasamos a realizar el análisis de los mismos, es decir, se
estudian la posibilidad y las consecuencias de cada factor de riesgo con el fin de establecer el nivel de riesgo de
nuestro proyecto.

 El análisis de los riesgos determinará cuáles son los factores de riesgo que potencialmente tendrían un mayor
efecto sobre nuestro proyecto y, por lo tanto, deben ser gestionados por el emprendedor con especial atención.
 Existen dos tipologías de métodos utilizados para determinar el nivel de riesgos de nuestro negocio. Los métodos
pueden ser: Métodos Cualitativos – Métodos
MÉTODO CUALITATIVO

 Es el método de análisis de riesgos más utilizado en la toma de decisiones en proyectos empresariales, los
emprendedores se apoyan en su juicio, experiencia e intuición para la toma de decisiones. Se pueden utilizar
cuando el nivel de riesgo sea bajo y no justifica el tiempo y los recursos necesarios para hacer un análisis
completo. O bien porque los datos numéricos son inadecuados para un análisis mas cuantitativo que sirva de base
para un análisis posterior y mas detallado del riesgo global del emprendedor.
 Los métodos cualitativos incluyen:
- Brainstorming
- Cuestionario y entrevistas estructuradas
- Evaluación para grupos multidisciplinarios
- Juicio de especialistas y expertos (Técnica Delphi)
MÉTODO CUALITATIVO

 Se consideran métodos cuantitativos a aquellos que permiten asignar valores de ocurrencia a los diferentes riesgos
identificados, es decir, calcular el nivel de riesgo del proyecto.
 Los métodos cuantitativos incluyen:
 Análisis de probabilidad
 Análisis de consecuencias
 Simulación computacional
El desarrollo de dichas medidas puede ser realizado mediante diferentes mecanismos, entre los cuales destacamos el Método
Montecarlo, el cual se caracteriza por:
- Amplia visión para mostrar múltiples posibles escenarios
- Sencillez para llevarlo a la práctica
- Computerizable para la realización de simulaciones
TRATAMIENTO DEL RIESGO

 El plan de tratamiento de riesgos de seguridad de la información es el proceso de identificar, comprender,

evaluar y mitigar los riesgos y el impacto en la información, los sistemas de información y las empresas
que dependen de la información para sus operaciones. Además de identificar todos los riesgos y las medias
de mitigación del riesgo, un método y proceso de gestión del riesgo:
 Identificar todos los activos críticos de información. Un programa de gestión de riesgos que se puede ampliar para
identificar a las personas críticas, los procesos de negocio y la tecnología.
 Comprender por qué los activos críticos escogidos son necesarios para la operación, la realización de la misión y la
continuidad de las operaciones.