Al final, el artículo no es tan "transgresor" como parece. Realmente, bajo la premisa de que un análisis de riesgos "bien hecho" sí que es útil, lleva a cabo una explicación completa y con ejemplos de cómo se realiza uno de esos análisis de riesgos. No obstante, sí que hace algunas puntualizaciones que me han gustado mucho, y que paso a enunciar por si en una primera lectura del artículo pueden pasar algo desapercibidas:
- El objetivo del análisis de riesgos es conocer realmente el nivel de riesgo aceptable con el cual puede vivir una organización, y el de la gestión de riesgos consiste en conocer los riesgos y las alternativas para poder manejarlos.
- La alta dirección de cualquier empresa tiene la responsabilidad de atender y facilitar lo necesario para llevar a cabo un análisis y evaluación de riesgos (“Due Diligence”).
- La causa principal por la que fallan los análisis de riesgos es porque su alcance está limitado a las áreas de sistemas y no se extiende a las áreas de negocio o funcionales.
- Un análisis y evaluación de riesgos debe completarse en semanas, no en meses o años.
- Un proceso de análisis y evaluación de riesgos efectivo buscará atender las necesidades reales de la organización, e involucrará a los dueños de la información.
- Después de identificar todos los controles posibles y evaluar su viabilidad y efectividad se debe realizar un análisis coste-beneficio. Este proceso debe ser realizado para cada control, para determinar si el control recomendado es apropiado para la organización.
- Será necesario crear una lista de definiciones de amenazas, con el fin de que todos los integrantes del equipo estén totalmente homogenizados en la definición de las amenazas.
- El equipo analizará las amenazas identificadas con un factor de riesgo alto y seleccionará los controles técnicos, administrativos, y operacionales que ofrecerán un nivel rentable y aceptable de protección a los activos.
- Es importante listar todos los controles considerados y clasificarlos, ya que esto permitirá a la dirección ver lo que fue considerado y lo que el equipo está recomendando como un control adecuado y rentable. También es importante conocer que un control puede reducir la exposición de riesgo de más de una amenaza, aumentando así su costo-beneficio.
Son sólo una serie de pequeños consejos a la hora de realizar un análisis de riesgos, pero si se siguen seguro que es más fácil obtener el éxito en una tarea a veces tan poco agradecida como puede llegar a ser un análisis de riesgos "bien hecho". Eso sí, el resultado merecerá la pena.
Fuente: http://secugest.blogspot.com/2009/01/funcionan-los-analisis-de-riesgos.html
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!