Transcription of Gestión de riesgos - INCIBE
1 Gesti n de riesgosUna gu a de aproximaci n para el empresarioGESTI N de riesgos Una gu a de aproximaci n para el empresario21 Introducci n 32 Conceptos 4 Activo, amenazas, vulnerabilidad, impacto y probabilidad 4 C mo se mide el nivel de riesgo? 6 Qu hacer con los riesgos ? 73 Gesti n del riesgo: principios, marco de trabajo y proceso 9 Principios 9 Marco de trabajo 9 Pol tica de gesti n de riesgos 11 Etapas del proceso de gesti n de riesgos 11 Comunicaci n y consulta 12 Determinar el contexto 12 Valoraci n o apreciaci n de riesgos 12 Tratamiento del riesgo 13 Seguimiento y
2 Revisi n 134 Gesti n de riesgos de seguridad de la informaci n 14 Conceptos 14 El proceso de gesti n de riesgos de seguridad de la informaci n 16 Comunicaci n 16 Estableciendo el contexto de seguridad de la informaci n 16 Valorando los riesgos de seguridad de la informaci n 17 Tratando y aceptando riesgos de seguridad de la informaci n 21 Monitorizando los riesgos de seguridad de la informaci n 235 Referencias 24 FigurasIlustraci n 1 Activo, amenaza, vulnerabilidad e impacto 5 Ilustraci n 2 C lculo del riesgo 6 Ilustraci n 3 Coste de equilibrio 6 Ilustraci n 4 Gesti n de riesgos 7 Ilustraci n 5 Opciones del tratamiento de riesgos 8 Ilustraci n 6 Proceso de gesti n de riesgos (fuente: ISO 31000.)
3 2009) 11 Ilustraci n 7 Dimensiones de la seguridad de la informaci n 14 TablasTabla 1 Ejemplo de niveles de clasificaci n de los impactos de un incidente 19 Tabla 2 Estimaci n del producto probabilidad x impacto para evaluar riesgos 21 Tabla 3 Ejemplo criterios para el tratamiento de riesgos ndiceINCIBE_PTE_AproxEmpresario_002_Gest ionRiesgos-2015-v1 GESTI N de riesgos Una gu a de aproximaci n para el empresario31 Introducci na gesti n de riesgos est presente, con mayor o menor protagonismo, en distintos mbitos de la sociedad y la empresa. Son algunos ejemplos la gesti n de riesgos :n .. laboralesn .. alimentariosn .. bancarios, financierosn.
4 Corporativos, de proyectosn .. medioambientalesn .. de seguridad de la informaci nUn hecho com n a todos ellos, es que los responsables son conscientes de la existencia de ame-nazas que suponen un peligro para la consecuci n de sus objetivos. Dedican esfuerzos y recursos a mantener estos riesgos por debajo de un l mite previamente consensuado en sus maximizar los beneficios de dicha gesti n y contar con garant as de xito, los esfuerzos han de ser empleados de forma met dica, estructurada y, sobre todo, siguiendo un proceso de eva-luaci n y mejora continua. Las organizaciones se encuentran en un entorno en cambio constante. Los logros obtenidos ante las amenazas de hoy no suponen ninguna garant a de xito para las amenazas de ma esta gu a se introducen los conceptos y procesos comunes a toda actividad de gesti n de ries-gos.
5 La gu a mostrar la aplicaci n de estos conceptos y procesos a la seguridad de la informaci gu a se estructura en los siguientes apartados:n Conceptos Los t rminos b sicos utilizados en gesti n de Gesti n de riesgos Actividades para llevar a cabo una gesti n de riesgos as como los diferentes roles y Gesti n de riesgos en sistemas de informaci n Se aplican las actividades del apartado anterior al rea de sistemas de infor-maci Referencias Listado de enlaces donde encontrar m s informaci n sobre de gesti n de N de riesgos Una gu a de aproximaci n para el este apartado se introducen los t rminos utilizados en la jerga cl sica de gesti n de ries-gos.
6 Su comprensi n facilitar el resto de la lectura de la gu la actualidad la revisi n de algunas de las normas sobre riesgos , en particular las normas ISO, est incorporando nuevos conceptos m s generales que los tradicionales, definiendo el riesgo como incerti-dumbre en la consecuci n de los objetivos . Adem s de la definici n se indican los cambios para cada t rmino , amenaza, vulnerabilidad, impacto y probabilidadn Activo Cualquier recurso de la empresa necesario para desempe ar las activi-dades diarias y cuya no disponibilidad o deterioro supone un agravio o coste. La naturaleza de los activos depender de la empresa, pero su protecci n es el fin ltimo de la gesti n de riesgos .
7 La valoraci n de los activos es importante para la evaluaci n de la magnitud del riesgo. Este t rmino en las nuevas normas se generaliza para denominarse fuente de ries-go siendo el elemento que s lo o con otros puede originar un Amenaza Circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibili-dad, funcionamiento incorrecto o p rdida de valor. En la evoluci n de las normas este concepto se amplia para denominarse suceso .La naturaleza de los activos depender de la empresa, pero su protecci n es el fin ltimo de la gesti n de riesgos GESTI N de riesgos Una gu a de aproximaci n para el empresario5n Vulnerabilidad Debilidad que presentan los activos y que facilita la materializa-ci n de las amenazas.
8 N Impacto o consecuencia de la materializaci n de una amenaza sobre un activo aprovechando una vulnerabilidad. El impacto se suele estimar en porcentaje de degradaci n que afecta al valor del activo, el 100% ser a la p rdida total del activo. La consecuencia en las nuevas normas es el resultado de un suceso que afecta a los Probabilidad Es la posibilidad de ocurrencia de un hecho, suceso o aconteci-miento. La frecuencia de ocurrencia impl cita se corresponde con la amenaza. Para estimar la frecuencia podemos basarnos en datos emp ricos (datos obje-tivos) del hist rico de la empresa, o en opiniones de expertos o del empresario (datos subjetivos).
9 Este t rmino permanece en la evoluci n de las normas ISO refiri ndose a un suceso en lugar de a una amenaza. El siguiente diagrama muestra las relaciones entre estos conceptos: 2 ConceptosExplotaqAmenazaAfectaqVulnerabi lidadActivoq ProvocaIMPACTOI lustraci n 1 Activo, amenaza, vulnerabilidad e impactoGESTI N de riesgos Una gu a de aproximaci n para el empresario6 C mo se mide el nivel de riesgo? Como ve amos en el apartado anterior, el impacto nos indica las consecuencias de la materiali-zaci n de una amenaza. El nivel de riesgo es una estimaci n de lo que puede ocurrir y se valora, de forma cuantitativa, como el producto del impacto, (consecuencia), asociado a una amenaza (suceso), por la probabilidad de la impacto, y por tanto el riesgo, se valoran en t rminos del coste derivado del valor de los activos afectados considerando, adem s de los da os producidos en el propio activo.
10 N da os personalesn p rdidas financierasn interrupci n del servicion p rdida de imagen y reputaci nn disminuci n del rendimientoSi bien es posible, y en ocasiones necesario, realizar un an lisis cualitativo, trabajar con magni-tudes econ micas facilita a las organizaciones establecer el llamado umbral de riesgo, tambi n llamado apetito al riesgo : el nivel m ximo de riesgo que la empresa est dispuesta o se atreve a soportar. La gesti n de riesgos debe mantener el nivel de riesgo siempre por debajo del otro lado, se denomina coste de protecci n al coste que supone para las organizaciones los recursos y esfuerzos que dedican para mantener el nivel de riesgo por debajo del umbral desea-do.
