SEGURIDAD: 2.5 Analisis de riesgo dentro del SGSI

Uno de los puntos clave de todo SGSI es el análisis de riesgos.

¿Por que medir el riesgo?

"La medición es el primer paso para el control y la mejora. Si algo no se puede medir, no se puede entender. Si no se entiende, no se puede controlar Si no se puede controlar no se puede mejorar“.

I.Conceptos básicos de un análisis de riesgos:

En primer lugar conviene clarificar qué se entiende por riesgo. Dentro del contexto de un análisis de riesgos, es la estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.

Es importante conocer qué son otro tipo de conceptos muy relacionados con los Análisis de Riesgos y la seguridad de la información. Estos son los más importantes:

• Amenaza: Es la causa potencial de un daño a un activo.

• Vulnerabilidad: debilidad de un activo que puede ser aprovechada por una amenaza.

• Impacto: consecuencias de que la amenaza ocurra.

• Riesgo intrínseco: cálculo del daño probable a un activo si se encontrara desprotegido.

• Salvaguarda: Medida técnica u organizativa que ayuda a paliar el riesgo.

• Riesgo residual: Riesgo remanente tras la aplicación de salvaguardas.

El análisis de riesgos se define como la utilización sistemática de la información disponible, para identificar peligros y estimar los riesgos. A la hora de diseñar un SGSI, es primordial ajustarse a las necesidades y los recursos de la organización para que se puedan cubrir las expectativas, llegando al nivel de seguridad requerido con los medios disponibles. Es relativamente sencillo calcular con cuantos recursos se cuenta (económicos, humanos, técnicos…) pero no es tan fácil saber a ciencia cierta cuáles son las necesidades de seguridad.

Es aquí donde se muestra imprescindible la realización de un análisis de riesgos. Hacerlo permite averiguar cuáles son los peligros a los que se enfrenta la organización y la importancia de cada uno de ellos. Con esta información ya será posible tomar decisiones bien fundamentadas acerca de qué medidas de seguridad deben implantarse. Por tanto, un aspecto de gran importancia a la hora de realizar la implantació.

Fuentes de informacion: http://www.iso27000.es/download/Analisis_del_Riesgo_y_el_ISO_27001_2005.pdf

http://52.1.175.72/portal/sites/all/themes/argo/assets/img/Pagina/17-ElAnalisisRiesgosBaseSistemaGestionSeguridadInformacionCasoMagerit.pdf