Gestión de Riesgos
Es importante en toda organización
contar con herramientas que masifiquen la seguridad de los sistemas
informáticos, ya que para cualquier empresa más que un lujo, es una necesidad.
Para hacer una adecuada administración de los riesgos hay que basarse en los
siguientes aspectos:
ü La evaluación de
los riesgos inherentes a los procesos informáticos.
ü La evaluación de
las amenazas o causas de los riesgos.
ü Los controles
utilizados para minimizar las amenazas a riesgos.
ü La asignación de
responsables a los procesos informáticos.
ü La evaluación de
los elementos del análisis de riesgos.
Unos de los principales riesgos
informáticos a los que se ve sometida cualquier organización pueden ser los
siguientes:
ü
Seguridad
física: Esta es una realidad a la que no podemos hacer caso omiso, la mayoría
de veces la parte física es hurtada y con ello también la información contenida.
ü
Control
de accesos: Muchas personas no tienen precaución al momento de digitar claves
de accesos a ciertos programas o aplicaciones del computador, es por tal razón
que las personas malintencionadas logran acceder a la información, muchas veces
para divulgar archivos privados.
ü
Protección
de datos: Al igual que la anterior la información también es vista por personas
que no tenían por qué conocerla.
ü
Seguridad
de redes: Cuando accedemos de forma indeterminada a ciertas redes que pueden
ser hackeadas, sin darnos cuenta.
El riesgo está identificado por:
ü
Vulnerabilidades:
El número aumenta, esencial y no esencial, menor tiempo hasta la explotación
pública.
ü
Amenazas:
Malware, conocidas y desconocidas, Dirigidas y aleatorias, Rápidas y lentas.
ü
Activos:
Conocidos y desconocidos, esencial y no esencial, confiable y no confiable.
ü
Riesgo:
Reducción de la complejidad, aumento de la eficiencia-reducción de costos,
administración de la conformidad.
Los objetivos de la gestión de riesgos
son identificar, dirigir y eliminar las fuentes de riesgo antes que afecte el
software de un sistema de información. Las principales características del
riesgo son: la incertidumbre: Esto significa que puede o no puede ocurrir y La
pérdida: Que es la consecuencia como tal de un riesgo ya desarrollado.
Dentro de algunas de las categorías del
riesgo encontramos: El riesgo del negocio, dentro de cual a su vez están
clasificados los diferentes tipos que son:
ü Riego de mercado.
ü Riesgo
estratégico.
ü Riesgo de
ventas.
ü Riesgo de
dirección.
ü Riesgo de
presupuesto.
El
análisis del riesgo se trata de examinar el riesgo según su clasificación:
ü
De
impacto: Esto identifica al riesgo en cuan peligroso puede ser, llegando a
causar una pérdida total o parcial de la información.
ü
Probabilidad:
Esta define la probabilidad que tiene el riesgo, esto quiere decir si es 100%,
probable tener determinado riesgo o tal vez 50%, dependiendo el avance del
mismo.
ü
Marco
del tiempo: Que tiempo determinado
tiene el riesgo, pueden haber riesgos a largo, mediano o corto plazo, un
ejemplo claro de esto puede ser un virus informático, hay virus que pueden
infectar en tiempos determinados o simplemente activarse al momento de abrir
cierto archivo en el sistema.
El riesgo puede actuar en cuatro
dimensiones:
ü
Tiempo:
Asociado al futuro.
ü
Certeza:
Se tiene incertidumbre de lo que pueda llegar a ocasionar.
ü
Resultados:
Positivos o negativos.
ü
Complejidad:
Es complejo al momento de determinar cuán importante puede ser.
Atreves del tiempo la tecnología ha
logrado satisfacer algunas de las necesidades de los sistemas de información,
una de ellas es la mitigación de los riesgos informáticos, dentro de los cuales
están:
ü
Antivirus:
Es como una especie de vacuna, la cual previene que malware invadan los
sistemas informáticos.
ü
Firewall:
Bloquea posibles ataques a nuestros softwares.
ü
NIPS/HIPS:
Detección y bloqueo efectivo de hackers.
