•Riesgo: Probabilidad de ocurrencia de un

evento adverso.

•Amenaza: Causante de un evento

adverso (Virus)

•Vulnerabilidad: Debilidad frente a una

amenaza(No tener AntiVirus)

•Incidente: Materialización de un riesgo

•Impactos: Imagen, dinero, mercado, etc.

El análisis de riesgos informáticos es un proceso que

comprende la identificación de activos informáticos,

sus vulnerabilidades y amenazas a los que se encuentran

expuestos así como su probabilidad de ocurrencia y el impacto

de las mismas, a fin de determinar los controles adecuados

para aceptar, disminuir, transferir o evitar la ocurrencia del

riesgo.

La evaluación del riesgo incluye las siguientes actividades y

acciones:

Identificación de los activos.

Identificación de los requisitos legales y de negocios que son

relevantes para la identificación de los activos.

Valoración de los activos identificados.

Teniendo en cuenta los requisitos legales identificados de negocios

y el impacto de una pérdida de confidencialidad, integridad y

disponibilidad.

Identificación de las amenazas y vulnerabilidades importantes para

los activos identificados.

Evaluación del riesgo, de las amenazas y las vulnerabilidades a

ocurrir.

Cálculo del riesgo.

Evaluación de los riesgos frente a una escala de riesgo

preestablecidos.

Después de efectuar el análisis debemos determinar las acciones a

tomar respecto a los riesgos residuales que se identificaron. Las

acciones pueden ser:

Controlar el riesgo. Fortalecer los controles existentes y/o agregar

nuevos controles.

Eliminar el riesgo. Eliminar el activo relacionado y con ello se

elimina el riesgo.

Compartir el riesgo. Mediante acuerdos contractuales parte del

riesgo se traspasa a un tercero.

Aceptar el riesgo.- Se determina que el nivel de exposición es

adecuado y por lo tanto se acepta.

Margerit.

Coras

NIST SP 800-30

Octave