El primer paso en la Gestión de riesgo es el análisis de riesgo que tiene como propósito determinar los componentes de un sistema que requieren protección, sus vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo.
Clasificación y Flujo de Información
La clasificación de datos tiene el propósito
de garantizar la protección de datos (personales) y significa definir,
dependiendo del tipo o grupo de personas internas y externas, los diferentes
niveles de autorización de acceso a los datos e informaciones. Considerando el
contexto de nuestra misión institucional, tenemos que definir los niveles de
clasificación como por ejemplo: confidencial, privado, sensitivo y público.
Cada nivel define por lo menos el tipo de persona que tiene derecho de acceder
a los datos, el grado y mecanismo de autenticación.
Una vez clasificada la información, tenemos
que verificar los diferentes flujos existentes de información internos y externos,
para saber quiénes tienen acceso a qué información y datos.
Clasificar los datos y analizar el flujo de
la información a nivel interno y externo es importante, porque ambas cosas
influyen directamente en el resultado del análisis de riesgo y las consecuentes
medidas de protección. Porque solo si sabemos quiénes tienen acceso a qué datos
y su respectiva clasificación, podemos determinar el riesgo de los datos, al
sufrir un daño causado por un acceso no autorizado.
Existen varios métodos de como valorar un riesgo y al final, todos
tienen los mismos retos -las variables son difíciles de precisar y en su
mayoría son estimaciones- y llegan casi a los mismos resultados y conclusiones.
En el
proceso de analizar un riesgo también es importante de reconocer que cada riesgo
tiene sus características:
·Dinámico y cambiante
·Diferenciado
y tiene diferentes caracteres (caracteres de Vulnerabilidad)
·No siempre
es percibido de igual manera entre los miembros de una institución que tal vez puede
terminar en resultados inadecuados y por tanto es importante que participan las
personas especialistas de los diferentes elementos del sistema (Coordinación,
Administración financiera, Técnicos, Conserje, Soporte técnico externo etc.)
El modelo se pude aplicar a los diferentes elementos de manera aislada,
sino también a los sistemas completos, aunque en el primer caso, el resultado
final será más preciso pero también requiere más esfuerzo.
Entre más alta la Probabilidad de Amenaza y Magnitud de Daño, más grande
es el riesgo y el peligro al sistema, lo que significa que es necesario
implementar medidas de protección.
Aquí tenemos el ejemplo del análisis de riesgo en una tesis que habla
sobre la seguridad informática dentro de una institución universitaria:
Lo primero fue investigar sobre todos los dispositivos y toda la información
que se encuentra en la institución para esto se cuenta con el mapa de red de la
institución que se mostrara a continuación, donde especifica el nombre de cada
uno de los dispositivos, su cantidad y su utilidad.
No hay comentarios.:
Publicar un comentario