Esquemas de Seguridad Informática

Análisis de Riesgos Proceso del Análisis de Riesgos

En un proceso de análisis del riesgo debe considerarse la siguiente terminología:

  1. Activo: es todo aquello con valor para una organización y que necesita protección –datos infraestructura, hardware, software, personal y su experiencia, información, servicios.

  2. Riesgo: posibilidad de sufrir algún daño o pérdida.

  3. Aceptación del riesgo: decisión para aceptar un riesgo.

  4. Análisis de riesgo: uso sistemático de información disponible para identificar las fuentes y para estimar qué tan seguido determinados eventos no deseados pueden ocurrir y la magnitud de sus consecuencias. Uso sistemático de la información para describir y calcular el riesgo (ver tabla 5.3). Evaluación de amenazas y vulnerabilidades de la información y su impacto (ver tabla 5.4) en el procesamiento de la información así como su frecuencia de ocurrencia (ver tabla 5.5).

Tabla 5.3 Un ejemplo de la escala del riesgo

Tabla 5.4 Un ejemplo de impacto del acontecimiento

Tabla 5.5 Un ejemplo de la frecuencia de ocurrencia de un acontecimiento




  1. Manejo de riesgo: proceso de identificación, control y minimización o eliminación de riesgos de seguridad que pueden afectar sistemas de información, por un costo aceptable.


  2. Evaluación del riesgo: comparación de los resultados de un análisis del riesgo con los criterios estándares del riesgo u otros criterios de decisión.

  3. Impacto: pérdidas como resultado de la actividad de una amenaza, las pérdidas son normalmente expresadas en una o más áreas de impacto –destrucción, denegación de servicios, revelación o modificación.

  1. Pérdida esperada: el impacto anticipado y negativo a los activos debido a una manifestación de la amenaza.

  2. Vulnerabilidad: una condición de debilidad.

  3. Amenaza: una acción potencial (que puede suceder o existir, pero no existe aún) con la posibilidad de causar daño.

  4. Riesgo residual: el nivel de riesgo que queda después de la consideración de todas las medidas necesarias, los niveles de vulnerabilidad y las amenazas relacionadas. Éste debe ser aceptado como es o reducirse a un punto donde pueda ser aceptado.

  5. Control: son los protocolos y mecanismos de protección que permiten el cumplimiento de las políticas de seguridad de la organización

Un análisis de riesgo de seguridad es un procedimiento para estimar el riesgo de los activos de cómputo relacionados y la pérdida debido a la manifestación de las amenazas. El primer procedimiento determina el nivel de vulnerabilidad del activo tras identificar y evaluar el efecto de los controles colocados en el lugar. Un nivel de vulnerabilidad de activo para cierta amenaza se determina con controles que se encuentran en el lugar en el momento en el que se realiza el análisis del riesgo.

Un análisis de riesgos de seguridad define el ambiente actual y realiza acciones correctivas recomendadas si el riesgo residual no es aceptable; es un parte virtual de cualquier programa de manejo de riesgo de seguridad. El proceso de análisis de riesgo debe ser realizado con suficiente regularidad para asegurar que cada aproximación del manejo del riesgo de la organización sea respuesta real a los riesgos actuales asociados con la información de sus activos. El manejo de riesgos debe decir si acepta el riesgo residual o implementa las actividades recomendadas.

Las relaciones entre lo elementos de un análisis del riesgo se muestra en la figura 5.13.


Figura 5.13 Relaciones entre los elementos de un análisis de riesgo.

El objetivo del análisis de riegos es tener capacidad de:

  • Identificar, evaluar y manejar los riesgos de seguridad.

  • Estimar la exposición de un recurso a una amenaza determinada.

  • Determinar qué combinación de medidas de seguridad proporcionará un nivel de seguridad razonable a un costo aceptable.

  • Tomar mejores decisiones en seguida de la información.

  • Enfocar recursos y esfuerzos en la protección de activos