Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
32<br />
les (ISO, NIST, etc.), así como <strong>en</strong> el <strong>de</strong>sarrollo <strong>de</strong> numerosas metodologías y<br />
herrami<strong>en</strong>tas que los implem<strong>en</strong>tan (MAGERIT, CRAMM, Octave, etc.)<br />
El proceso <strong>de</strong> análisis y gestión <strong>de</strong> riesgo propuesto por estos estándares pue<strong>de</strong><br />
resumirse <strong>en</strong> los sigui<strong>en</strong>tes pasos:<br />
• Establecimi<strong>en</strong>to <strong>de</strong>l alcance <strong>de</strong>l análisis, i<strong>de</strong>ntificando los activos <strong>de</strong><br />
información que <strong>de</strong>ban ser contemp<strong>la</strong>dos.<br />
• I<strong>de</strong>ntificación <strong>de</strong> los riesgos. I<strong>de</strong>ntificación <strong>de</strong> <strong>la</strong>s vulnerabilida<strong>de</strong>s y<br />
am<strong>en</strong>azas a <strong>la</strong>s que están sujetos los activos <strong>de</strong> información compr<strong>en</strong>didos<br />
<strong>en</strong> el alcance.<br />
• Análisis <strong>de</strong> los riesgos. Valoración <strong>de</strong> los riesgos i<strong>de</strong>ntificados, <strong>en</strong> función<br />
<strong>de</strong> su probabilidad <strong>de</strong> ocurr<strong>en</strong>cia e impacto asociado.<br />
• Evaluación <strong>de</strong> los riesgos. A partir <strong>de</strong>l análisis <strong>de</strong> riesgo, <strong>la</strong> organización<br />
proce<strong>de</strong> a evaluar los mismos y <strong>de</strong>cidir si son asumibles o no. En caso <strong>de</strong><br />
no serlos, se proce<strong>de</strong>rá a tratar los mismos.<br />
• Tratami<strong>en</strong>to <strong>de</strong> los riesgos. Despliegue <strong>de</strong> controles y contramedidas <strong>de</strong><br />
<strong>seguridad</strong> que mitigu<strong>en</strong> los riesgos.<br />
2.2.1. I<strong>de</strong>ntificación <strong>de</strong> activos: el corazón <strong>de</strong>l negocio<br />
El objetivo <strong>de</strong> toda Estrategia <strong>de</strong> Seguridad <strong>de</strong> <strong>la</strong> Información es proteger los<br />
activos <strong>de</strong> información <strong>de</strong> <strong>la</strong> organización. Y <strong>la</strong> razón para ello es <strong>la</strong> <strong>de</strong>p<strong>en</strong><strong>de</strong>ncia<br />
<strong>en</strong>tre los servicios y procesos <strong>de</strong> negocio <strong>de</strong> una organización y<br />
dichos activos.<br />
Hoy por hoy, cualquier actividad, servicio o proceso <strong>de</strong> negocio <strong>de</strong>sarrol<strong>la</strong>do<br />
por una organización <strong>de</strong>p<strong>en</strong><strong>de</strong>, <strong>en</strong> mayor o m<strong>en</strong>or medida, <strong>de</strong> <strong>la</strong> información<br />
y los medios empleados para su procesami<strong>en</strong>to, almac<strong>en</strong>ami<strong>en</strong>to o trasmisión.<br />
Cualquier disrupción <strong>en</strong> estos últimos supone un impacto <strong>en</strong> <strong>la</strong>s activida<strong>de</strong>s<br />
<strong>de</strong> <strong>la</strong> organización.<br />
Como se ha com<strong>en</strong>tado con anterioridad, el mo<strong>de</strong>lo <strong>de</strong> análisis y gestión <strong>de</strong><br />
riesgos persigue i<strong>de</strong>ntificar los riesgos a los que se <strong>en</strong>cu<strong>en</strong>tran sometidos los