La seguridad informática requiere de la participación de todos los niveles de la organización y es una responsabilidad compartida. El análisis de riesgo es un proceso cíclico y continuo que involucra al área de tecnologías de la información y a la administración. Se aplica tanto a los activos críticos como a nivel organizacional hasta alcanzar el nivel de seguridad adecuado.
Dentro de los objetivos que se deben plantear al momento de realizar el análisis del riesgo de la información se puede hacer mención a los siguientes objetivos fundamentales, entre ellos están:
• Identificar, evaluar y manejar los riesgos de seguridad.
• Estimar la exposición de un recurso a una amenaza
determinada.
• Determinar cual combinación de medidas de seguridad
proporcionará un nivel de seguridad razonable a un
costo aceptable.
• Tomar mejores decisiones en seguridad informática.
• Enfocar recursos y esfuerzos en la protección de los
activos.
Los beneficios que se esperan una vez que se logren dichos objetivos, estarán relacionados directamente con:
• Costos de seguridad justificados.
• Análisis desde el interior (self-analysis).
• Permite que la seguridad se convierta en parte de la cultura de la organización.
• Apoya la comunicación y facilita la toma de decisiones.
• Certeza económica/financiera.
• Permite determinar las necesidades de acción correctivas.
• Incrementa la conciencia de seguridad en todos los niveles.
• Brinda criterios para el diseño y evaluación de planes de contingencia.
• Los resultados del Análisis de Riesgos proveen información que facilita y justifica la toma de decisiones en relación a la seguridad informática.
REFERENCIA:
Ámbitos de Análisis del Riesgo
No hay comentarios:
Publicar un comentario