{"id":9879,"date":"2015-09-28T07:59:50","date_gmt":"2015-09-28T12:59:50","guid":{"rendered":"https:\/\/www.uv.mx\/universo\/?p=9879"},"modified":"2015-10-26T19:05:52","modified_gmt":"2015-10-27T01:05:52","slug":"que-es-la-gestion-de-riesgos-de-la-seguridad-de-la-informacion","status":"publish","type":"post","link":"https:\/\/www.uv.mx\/universo\/general\/que-es-la-gestion-de-riesgos-de-la-seguridad-de-la-informacion\/","title":{"rendered":"\u00bfQu\u00e9 es la gesti\u00f3n de riesgos de la seguridad de la informaci\u00f3n?"},"content":{"rendered":"
Esta entrada es parte 11 de 46 en la serie 612<\/a><\/div><\/div><\/div>

\"Universo-TecnoTips_Temis\"<\/a>Para entender el proceso de gesti\u00f3n de riesgos de la seguridad de la informaci\u00f3n, primero es necesario definir los conceptos importantes vinculados a \u00e9ste, tales como: amenaza, impacto, riesgo, control y vulnerabilidad.<\/p>\n

La amenaza es un evento que puede desencadenar un incidente, produciendo da\u00f1os en los activos (causados por el medio ambiente, la tecnolog\u00eda, los seres humanos, las organizaciones, etc.); el impacto, es la consecuencia de la materializaci\u00f3n de la amenaza sobre un activo de informaci\u00f3n.<\/p>\n

En tanto, el riesgo es la estimaci\u00f3n del grado de exposici\u00f3n de un activo a que una amenaza se materialice sobre \u00e9l, causando da\u00f1os que conducen a un\u00a0impacto\u00a0adverso en la organizaci\u00f3n, es decir, indica lo que le podr\u00eda pasar a los activos si no se protegen adecuadamente; el control permite garantizar que cada activo que se valor\u00f3 con un cierto riesgo quede cubierto y auditable; y la vulnerabilidad se refiere a la debilidad de un activo o de un control que puede ser afectado por una o m\u00e1s amenazas.<\/p>\n

La gesti\u00f3n de riesgos en la implementaci\u00f3n de un sistema de gesti\u00f3n de seguridad de la informaci\u00f3n (SGSI) es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza que puede afectar a los activos de informaci\u00f3n en cuanto a su confidencialidad, disponibilidad e integridad, por lo tanto se deben implementar controles para protegerlos a trav\u00e9s de una metodolog\u00eda.<\/p>\n

La norma ISO\/IEC 27005:2011 incluye: establecer el contexto, las condiciones y par\u00e1metros en los cuales se van a gestionar los riesgos; valoraci\u00f3n, cuantificar y describir cualitativamente el riesgo, identificar las vulnerabilidades y amenazas, controles existentes y sus efectos en los riesgos identificados, determinar las consecuencias potenciales; identificaci\u00f3n, realizar la valoraci\u00f3n de los activos de informaci\u00f3n cr\u00edticos considerando el impacto institucional de su p\u00e9rdida o degradaci\u00f3n.<\/p>\n

Adem\u00e1s considera el an\u00e1lisis, que se refiere a identificar y evaluar la probabilidad e impacto de la materializaci\u00f3n de cada vulnerabilidad; evaluaci\u00f3n, realizar la proyecci\u00f3n del impacto financiero por la materializaci\u00f3n de las amenazas, as\u00ed como el costo-beneficio en relaci\u00f3n con la criticidad del activo de informaci\u00f3n; y tratamiento, de acuerdo con los resultados de la evaluaci\u00f3n anterior se establecen los criterios para dar tratamiento a cada uno de los riesgos identificados: aceptarlo o asumirlo, mitigarlo o evitarlo.<\/p>\n

Finalmente se debe documentar y notificar a la alta direcci\u00f3n el resultado de la evaluaci\u00f3n de riesgos, antes y despu\u00e9s de implementar los controles para determinar la aceptaci\u00f3n o no del riesgo residual.<\/p>\n

Esto permite establecer estrategias para prevenir la ocurrencia de eventos potenciales que puedan impactar de manera negativa el logro de los objetivos de la organizaci\u00f3n.<\/p>\n

Fuentes:
\nMetodolog\u00eda de An\u00e1lisis y Gesti\u00f3n de Riesgos de los Sistemas de Informaci\u00f3n (MAGERIT versi\u00f3n 3). Libro I. M\u00e9todo.<\/p>\n","protected":false},"excerpt":{"rendered":"

Esta entrada es parte 11 de 46 en la serie 612<\/a><\/div><\/div><\/div>

Para entender el proceso de gesti\u00f3n de riesgos de la seguridad de la informaci\u00f3n, primero es necesario definir los conceptos importantes vinculados a \u00e9ste, tales como: amenaza, impacto, riesgo, control y vulnerabilidad.<\/p>\n","protected":false},"author":1664,"featured_media":9862,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"series":[364],"class_list":["post-9879","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-general","series-364"],"_links":{"self":[{"href":"https:\/\/www.uv.mx\/universo\/wp-json\/wp\/v2\/posts\/9879","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.uv.mx\/universo\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.uv.mx\/universo\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.uv.mx\/universo\/wp-json\/wp\/v2\/users\/1664"}],"replies":[{"embeddable":true,"href":"https:\/\/www.uv.mx\/universo\/wp-json\/wp\/v2\/comments?post=9879"}],"version-history":[{"count":0,"href":"https:\/\/www.uv.mx\/universo\/wp-json\/wp\/v2\/posts\/9879\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.uv.mx\/universo\/wp-json\/wp\/v2\/media\/9862"}],"wp:attachment":[{"href":"https:\/\/www.uv.mx\/universo\/wp-json\/wp\/v2\/media?parent=9879"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.uv.mx\/universo\/wp-json\/wp\/v2\/categories?post=9879"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.uv.mx\/universo\/wp-json\/wp\/v2\/tags?post=9879"},{"taxonomy":"series","embeddable":true,"href":"https:\/\/www.uv.mx\/universo\/wp-json\/wp\/v2\/series?post=9879"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}