Gestión de Riesgos

Gestión de Riesgos

Es importante en toda organización contar con herramientas que masifiquen la seguridad de los sistemas informáticos, ya que para cualquier empresa más que un lujo, es una necesidad. Para hacer una adecuada administración de los riesgos hay que basarse en los siguientes aspectos:

ü  La evaluación de los riesgos inherentes a los procesos informáticos.

ü  La evaluación de las amenazas o causas de los riesgos.

ü  Los controles utilizados para minimizar las amenazas a riesgos.

ü  La asignación de responsables a los procesos informáticos.

ü  La evaluación de los elementos del análisis de riesgos.

Unos de los principales riesgos informáticos a los que se ve sometida cualquier organización pueden ser los siguientes:

ü  Seguridad física: Esta es una realidad a la que no podemos hacer caso omiso, la mayoría de veces la parte física es hurtada y con ello también la información contenida.

ü  Control de accesos: Muchas personas no tienen precaución al momento de digitar claves de accesos a ciertos programas o aplicaciones del computador, es por tal razón que las personas malintencionadas logran acceder a la información, muchas veces para divulgar archivos privados.

ü  Protección de datos: Al igual que la anterior la información también es vista por personas que no tenían por qué conocerla.

ü  Seguridad de redes: Cuando accedemos de forma indeterminada a ciertas redes que pueden ser hackeadas, sin darnos cuenta.

El riesgo está identificado por:

ü  Vulnerabilidades: El número aumenta, esencial y no esencial, menor tiempo hasta la explotación pública.

ü  Amenazas: Malware, conocidas y desconocidas, Dirigidas y aleatorias, Rápidas y lentas.

ü  Activos: Conocidos y desconocidos, esencial y no esencial, confiable y no confiable.

ü  Riesgo: Reducción de la complejidad, aumento de la eficiencia-reducción de costos, administración de la conformidad.

Los objetivos de la gestión de riesgos son identificar, dirigir y eliminar las fuentes de riesgo antes que afecte el software de un sistema de información. Las principales características del riesgo son: la incertidumbre: Esto significa que puede o no puede ocurrir y La pérdida: Que es la consecuencia como tal de un riesgo ya desarrollado.

Dentro de algunas de las categorías del riesgo encontramos: El riesgo del negocio, dentro de cual a su vez están clasificados los diferentes tipos que son:

ü  Riego de mercado.

ü  Riesgo estratégico.

ü  Riesgo de ventas.

ü  Riesgo de dirección.

ü  Riesgo de presupuesto.

El análisis del riesgo se trata de examinar el riesgo según su clasificación:

ü  De impacto: Esto identifica al riesgo en cuan peligroso puede ser, llegando a causar una pérdida total o parcial de la información.

ü  Probabilidad: Esta define la probabilidad que tiene el riesgo, esto quiere decir si es 100%, probable tener determinado riesgo o tal vez 50%, dependiendo el avance del mismo.

ü  Marco del tiempo:       Que tiempo determinado tiene el riesgo, pueden haber riesgos a largo, mediano o corto plazo, un ejemplo claro de esto puede ser un virus informático, hay virus que pueden infectar en tiempos determinados o simplemente activarse al momento de abrir cierto archivo en el sistema.

El riesgo puede actuar en cuatro dimensiones:

ü  Tiempo: Asociado al futuro.

ü  Certeza: Se tiene incertidumbre de lo que pueda llegar a ocasionar.

ü  Resultados:      Positivos o negativos.

ü  Complejidad: Es complejo al momento de determinar cuán importante puede ser.

Atreves del tiempo la tecnología ha logrado satisfacer algunas de las necesidades de los sistemas de información, una de ellas es la mitigación de los riesgos informáticos, dentro de los cuales están:

ü  Antivirus: Es como una especie de vacuna, la cual previene que malware invadan los sistemas informáticos.

ü  Firewall: Bloquea posibles ataques a nuestros softwares.

ü  NIPS/HIPS: Detección y bloqueo efectivo de hackers.