4. riesgo.
(Del it. risico o rischio, y este del ár. clás. rizq, lo que
depara la providencia).
1. m. Contingencia o proximidad de un daño.
2. m. Cada una de las contingencias que pueden ser objeto
de un contrato de seguro.
a ~ y ventura.
1. loc. adv. Dicho de acometer una empresa o de celebrar
un contrato: Sometiéndose a influjo de suerte o evento,
sin poder reclamar por la acción de estos.
correr ~ algo.
1. loc. verb. Estar expuesto a perderse o a no verificarse.
5. En informática…
Es la exposición de información privada
provocada por la mala configuración, mal o
funcionamiento de un software o hardware,
también por la falta de políticas o normas para el
uso de la información.
6. Si cumplimos lo anterior… ¿estaremos en
riesgo de pérdida o filtración de información?
7. Aunque tenga las mejores políticas y tecnología
los riesgos siempre existirán.
“Hombre o Mujer prevenida… vale por dos”
La meta a perseguir en seguridad informática
es "lo que no está permitido debe estar
prohibido"
8. Los riesgos deben gestionarse bajo todo un
proceso.
Según definición de (Areitio Bertolín, 2008) el
proceso de gestión de riesgos identifica y
prioriza los peligros inherentes al desarrollo
de un producto, sistema u organización.
9. “La gestión de riesgos… se define como el
proceso que se encarga de identificar y
cuantificar la probabilidad de que se produzcan
amenazas y de establecer un nivel aceptable
de riesgo para la organización.” (Areitio
Bertolín, 2008, pág. 7)
10. Continua diciendo (Areitio Bertolín, 2008):
La valoración de riesgos es el proceso
consistente en identificar los problemas antes
que aparezcan.
En la gestión de riesgos, existe un factor
incertidumbre asociado con la probabilidad de
que aparezcan amenazas, que es diferente,
dependiendo de cada situación.
11. Un incidente no deseado presenta tres
componentes: amenaza, vulnerabilidad e
impacto.
Los riesgos se atenúan con la implantación de
salvaguardas, conocidas también como
medidas, controles o contramedida. Estas
pueden actuar contra la amenaza,
vulnerabilidad, impacto o el propio riesgo.
13. Para tratar de minimizar los efectos de un
problema de seguridad, se realiza el
denominado análisis de riesgo.
Es el proceso necesario para responder a tres
cuestiones básicas:
¿Qué queremos proteger?
¿Contra quién o qué se quiere proteger?
¿Cómo lo vamos hacer?
14. Es un proceso consistente en identificar los
peligros que afectan a la seguridad,
determinar su magnitud e identificar las áreas
que necesitan salvaguardas.
La valoración de riesgos es el resultado del
proceso del análisis de riesgo.
15. El análisis de riesgo se aplica de forma
continua. Es una técnica que permite:
Identificar los activos y controles de seguridad.
Gestionar las alertas de los riesgos próximos.
Identificar la necesidad de acciones correctivas.
Proporcionar una guía de cara a los gastos de los
recursos.
Relacionar el programa de control con la misión
de la organización.
16. El análisis de riesgo se aplica de forma
continua. Es una técnica que permite:
Proporcionar criterios para diseñar y evaluar
planes de contingencia y de continuidad de
negocios.
Mejorar la concienciación global sobre la
seguridad a todos los niveles.
17. Un agente de amenaza es el método
utilizado para explotar vulnerabilidades de un
sistema, operación, instalación o servicio.
Las funciones de salvaguarda se materializan
en mecanismo de salvaguarda, que son
procedimientos o dispositivos físicos o
lógicos que reducen el riesgo, en funciones
preventivas y curativas.
18. Para cada mecanismo de salvaguarda, se
toma en consideración en qué medida se
cumplimenta esta función y el grado de
implantación, a esto se le llama efectividad.
La gestión de riesgo es el proceso total de
identificar, controlar, eliminar o minimizar los
eventos inciertos que puedan afectar.
19.
20. En la práctica existen dos enfoques básicos a
la hora de realizar un completo análisis de
riesgo: uno cuantitativo y otro cualitativo.
21. El enfoque cualitativo es de uso muy común
en la actualidad, especialmente entre las
nuevas empresas consultoras de seguridad.
Es más sencillo e intuitivo que el cuantitativo,
ya que entran en juego la estimación de
pérdidas potenciales y no las probabilidades
exactas.
22. El enfoque cuantitativo es el menos utilizado, en
muchos casos implica cálculos complejos o
datos difíciles de estimar.
Se basa en dos parámetros fundamentales: la
probabilidad de que se produzca un suceso y la
estimación del coste o pérdidas.
A pesar de los inconvenientes hay empresas que
han adoptado éxito utilizando este tipo de
análisis.
23. Areitio Bertolín, J. (2008). Seguridad de la
Información. Madrid: Paraninfo.