Uno de los principales procesos que se llevan a cabo para
proteger la información de una entidad u organización, es la identificación, analisis y manejo de los riesgos, para ello se deben tener claro conceptos como
amenaza, vulnerabilidad, riesgo, salvaguarda y control.
http://www.isotools.org/wp-content/uploads/2014/05/blog-general_281.jpg
Amenaza: es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre los elementos de un sistema.http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización.
Magerit V3. Metodologia de analisis y gestión de riesgos de los sitemas de información. Libro 1-Metodo.
Vulnerabilidad: es la capacidad, las condiciones y características del sistema mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algún daño. http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
Control (Salvaguarda): son las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Control es también utilizado como sinónimo de salvaguarda o contramedida. En una definición más simple, es una medida que modifica el riesgo. ISO/IEC 27000 - http://www.iso27000.es/iso27000.html
Existen diferentes metodologías para el análisis de los riesgos, desarrolladas por diferentes estamentos o agremiaciones al rededor del mundo (Francia, Noruega, Reino Unido, EEUU, España), ,en este blog trataremos algunas de ellas y sus principales beneficios.
La decisión de aplicar alguna de estas metodologías, podría basarse en el tamaño de la organización, ya que algunas de ellas tiene versiones especificas o simplificadas que se adaptan de una mejor manera, como también el desarrollo de aplicativos para su uso.
La decisión de aplicar alguna de estas metodologías, podría basarse en el tamaño de la organización, ya que algunas de ellas tiene versiones especificas o simplificadas que se adaptan de una mejor manera, como también el desarrollo de aplicativos para su uso.