El análisis de riesgo en la seguridad de la información (nota técnica)

• Autores: Manuel Mújica, Kenny Álvarez
• Localización: Publicaciones en Ciencias y Tecnología, ISSN 1856-8890, ISSN-e 2477-9660, Vol. 4, Nº. 2 (Julio-Diciembre), 2010, págs. 33-37
• Idioma: español
• Títulos paralelos:
  • Risk analysis on the information security
• Enlaces
  • Texto completo (pdf)
• Resumen
  • español

    El propósito de este artículo consiste en ofrecer un conjunto de reflexiones conceptuales sobre la seguridad de la información y específicamente sobre el análisis de riesgos y su importancia en las organizaciones. Por lo que, el recurso más importante y afectado en toda organización pública y privada, grande o pequeña, es la información, por lo cual toda organización debe estar alerta e implementar sistemas de seguridad basados en un análisis de riesgo para evitar o mitigar las consecuencias no deseadas. El análisis de riesgo es un proceso que permite identificar las amenazas y vulnerabilidades de una organización con el objetivo de generar controles que minimicen los efectos de los riesgos, el cual implica determinar que o cuáles activos proteger, de qué o de quién hay que protegerlos y cómo hacerlo. El análisis de riesgos debe realizarse de forma continua dado que es necesario evaluar periódicamente si los riesgos identificados y la exposición a los mismos se mantienen vigentes; y es de vital importancia porque permite identificar los impactos futuros en la estructura de riesgos de la organización. Internacionalmente existe una norma, ISO 27005:2008 publicada en junio del año 2008, que establece criterios sobre la gestión del riesgo de la seguridad de la información y proporciona un marco normalizado que sirve de guía para definir metodologías propias para cada organización, esta norma sirve de apoyo a la norma ISO 27001:2005 que proporciona un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI).

  • English

    The purpose of this paper is to provide a set of conceptual thinking on information security and specifically on risk analysis and its importance in organizations. So, the most important and affected resource in any public or private, large or small organization, is the information collected, processed, stored and made available to users on computers and transmitted over networks, so that any organization must be alert and learn to implement security systems based on a risk analysis to prevent or mitigate the unintended consequences, because the risk is measurable. Risk analysis is a process that identifies threats and vulnerabilities of an organization with the goal of creating controls that mitigate or minimize the effects of risks, that involves to determine which assets to protect, from what or from who have to be protected and how to do it. The risk analysis should be made continuously since it is necessary to assess regularly whether the identified risks and exposure to those calculated earlier are still valid, and it is of vital importance because it can allow to identify future impacts on the risk structure of the organization. Internationally there is a standard, ISO 27005:2008 published in June of 2008, which establishes criteria for risk management of information security and provides a standardized framework that provides guidance in defining its own methodologies for each organization, this rule serves support to ISO 27001:2005 which provides a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving a management system for information security (ISMS).