Administración de Riesgos de Seguridad

El principal reto de los departamentos de TI es asegurar, procesar y administrar de manera efectiva la información que se provee a los procesos de negocio de la compañía, siendo ésta el activo más importante de cualquier organización. Debe, por tanto, asegurarse su protección ante una amplia gama de amenazas, garantizando que la información sea Confidencial, Íntegra y Disponible
El punto de partida para un sistema de seguridad informática es la realización del diagnóstico de la situación actual, para luego poder proyectar las soluciones necesarias a cada caso.
El análisis de riesgo implica cubrir los siguientes elementos:
• Declaración de propósito y alcance.
• Un análisis de los activos que son de valor.
• Un análisis de amenazas cuya ocurrencia puede
producir pérdidas.
• Un análisis de vulnerabilidades en los controles de
seguridad y en los sistemas.
• Un análisis de los riesgos que mide posibles pérdidas para la organización.
• Un análisis de las medidas de seguridad que actuarían como una protección.
Para complementar este análisis del riesgo, se han definido cuatro fases en el proceso que permiten desarrollar y tener un análisis eficaz de los mismos, dentro de estas fases están:
1. Evaluación del riesgo: identificar y asignar prioridades a los riesgos para la empresa.
2. Apoyo a la toma de decisiones: identificar y evaluar las soluciones de control según un proceso definido de análisis de costo-beneficio.
3. Implementación de controles: implementar y poner en funcionamiento las soluciones con el fin de reducir el riesgo para la empresa.
4. Medición de la efectividad del programa: analizar la efectividad del proceso de administración de riesgos y comprobar que los controles proporcionan el nivel de protección previsto.

REFERENCIA:
Administración de Riesgos de Seguridad