analisis de riesgos

Está desarrollada para la identificación de la falta de controles y el establecimiento de un plan de controles

riesgo La probabilidad de que una amenaza llegue a caecer por una vulnerabilidad

Situación creada por la falta de uno o varios controles, conque la amenaza puede ocurrir

Vulnerabilidad

una (s) personas o casos vistas como posibles fuentes decatástrofe

Conceptos fundamentales

amenazas

Basados en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a la experiencia acumulada

CualitativasCuantitativas

Diseñadas para producir unalista de riesgos que puedencompararse entre si confacilidad por tener asignadosunos valores numéricos(Basado en un modelo matemáticos)

Tipos de metodologías

OBJETIVOS DEL ANALISIS DE

RIESGOS Analizar el tiempo, esfuerzo y recursos disponibles y

necesarios para atacar los problemas. Llevar a cabo un minucioso análisis de los riesgos y

debilidades. Identificar, definir y revisar los controles de seguridad. Determinar si es necesario incrementar las medidas de

seguridad. Cuando se identifican los riesgos, los perímetros de seguridad

y los sitios de mayor peligro, se pueden hacer el mantenimiento mas fácilmente.

REGULACIONES Y NORMAS QUE TRATAN EL RIESGO

ISO/IEC 27001 • Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)

ISO/IEC 27005 • Esta Norma proporciona directrices para la Gestión del riesgo de Seguridad de la Información en una Organización. Sin embargo, esta Norma no proporciona ninguna metodología específica para el análisis y la gestión del riesgo de la seguridad de la información.

Basilea II • Estándar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos.

Ley Sarbanes Oxley (SOX) • Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros.