Metodologías de análisis de riesgos
Día tras día, nos exponemos a riesgos de todo tipo. El simple hecho de cruzar la calle implica el riesgo de ser atropellados, lanzarse en paracaídas puede conllevar que el paracaídas no se abra y ya pueden intuir el resultado, o realizar una compra por internet puede entrañar el riesgos de que obtengan nuestros datos bancarios. Está claro que a nivel personal no podemos hacer un análisis de riesgos de cada acción o decisión que tomemos y no hablemos ya de documentarlo conscientemente.
Si pensamos en el ámbito empresarial, donde la mayor parte de acciones deben tomarse de un modo objetivo, ser capaz de cuantificar el riesgo puede suponer en muchos casos la diferencia entre el éxito o el fracaso. En este sentido las áreas TIC de las empresas han sido uno de los ámbitos pioneros en acometer análisis de riesgos, impulsado por ser un requisito de normas como la ISO 27001 y sus anteriores ediciones, o como proyecto de entidad propia.
El análisis de riesgos es la herramienta a través de la cual se puede obtener una visión clara y priorizada de los riesgos a los que se enfrenta una entidad: tiene como propósito identificar los principales riesgos a los que una entidad está expuesta, ya sean desastres naturales, fallos en infraestructura o riesgos introducidos por el propio personal. En este sentido pretende identificar los riesgos más significativos que pueden afectar a la operativa de la entidad y priorizar medidas a implantar para minimizar la probabilidad de materialización de dichos riesgos o el impacto en caso de materializarse.
La pregunta principal es: ¿cómo llevamos a cabo un análisis de riesgos?
Antes entrar en harina, para los lectores que no estén familiarizados con el concepto, vamos a proponer 2 definiciones de análisis de riesgos que provienen del ámbito TIC:
Contenido completo en fuente original Security Art Work I, II
Si pensamos en el ámbito empresarial, donde la mayor parte de acciones deben tomarse de un modo objetivo, ser capaz de cuantificar el riesgo puede suponer en muchos casos la diferencia entre el éxito o el fracaso. En este sentido las áreas TIC de las empresas han sido uno de los ámbitos pioneros en acometer análisis de riesgos, impulsado por ser un requisito de normas como la ISO 27001 y sus anteriores ediciones, o como proyecto de entidad propia.
El análisis de riesgos es la herramienta a través de la cual se puede obtener una visión clara y priorizada de los riesgos a los que se enfrenta una entidad: tiene como propósito identificar los principales riesgos a los que una entidad está expuesta, ya sean desastres naturales, fallos en infraestructura o riesgos introducidos por el propio personal. En este sentido pretende identificar los riesgos más significativos que pueden afectar a la operativa de la entidad y priorizar medidas a implantar para minimizar la probabilidad de materialización de dichos riesgos o el impacto en caso de materializarse.
La pregunta principal es: ¿cómo llevamos a cabo un análisis de riesgos?
Antes entrar en harina, para los lectores que no estén familiarizados con el concepto, vamos a proponer 2 definiciones de análisis de riesgos que provienen del ámbito TIC:
- Proceso sistemático para estimar la magnitud de los riesgos a la que está expuesta una Organización. (MAGERIT)
- Utilización sistemática de la información disponible para identificar peligros y estimar riesgos. (ENS)
¿Cómo se hace un análisis de riesgos?
Como todo en esta vida uno tiene la opción de reinventar la rueda o partir de una metodología reconocida. La intención de este post es introducir al lector en las distintas metodologías existentes, no en detallar el proceso de análisis de riesgos definido en una de ellas. No obstante, en esta entrada y la siguiente vamos a introducirles en metodologías de análisis de riesgos.Contenido completo en fuente original Security Art Work I, II
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!