Programas
Maestrías Oficiales
Maestría Oficial en Dirección de Ciberseguridad
Maestría Oficial en Dirección de Ciberseguridad
3850€
-75%
15500€
El secreto es empezar
Financiación
Financia tu carrera con Sequra
hasta en 12 cuotas
Residentes en España
Quiero saber más
Maestría Oficial en Compliance, Ciberseguridad y Gestión de riesgos Maestría Internacional en Dirección y Administración de Empresas Máster Oficial en Liderazgo Positivo y Desarrollo Personal Maestría oficial en modelos Sales web & eCommerce P EVA Maestría oficial en Marketing Digital y Big Data Maestría Oficial en Usabilidad UX Online Máster Oficial en Project Management Máster Oficial en Sistemas Integrados de Gestión
Especialidades
Títulos propios
Máster en Project Management, Big Data y Business Intelligence
Máster en Project Management, Big Data y Business Intelligence
1850€
-61%
4800€
El secreto es empezar
Financiación
Financia tu carrera con Sequra
hasta en 12 cuotas
Residentes en España
Quiero saber más
Máster en Diseño y Gestión de Empresas Digitales Máster en administración de proyectos Máster en operaciones de almacenaje, logística del transporte y comercio internacional Máster en Dirección de Entidades Deportivas Máster MBA en dirección de operaciones, logística y producción Postgrado en Sistemas de Comunicación: Voz y Datos Máster internacional en habilidades directivas y desarrollo personal Máster en energías renovables
Cursos
Explorar programas
exit
Practicas
Alumnos
Convenio de prácticas
Masters con prácticas
Masters Talento
Cursos con prácticas
Empresa
Prácticas en empresas
Prácticas 3 pasos
¿Buscas trabajo? Únete al equipo global
Contratar becarios en prácticas
Prácticas en empresas VIP
Prácticas en empresas Erasmus
Agencia de prácticas en empresas
Paises para hacer prácticas erasmus
Universidades colaboradoras
Contratar becarios extranjeros
Como contratar becarios con AICAD
Preguntas frecuentes de alumnos
Preguntas frecuentes de empresas
Agencia de Work and Travel
Universidades y Agencias Partner
Universidades y Career Centre
exit
Blog
Contacto
Aicad Business School
Acceder

Blog Todos los mensajes

Cómo llevar adelante un buen análisis de riesgos en los negocios

Share Aicad Business School
Cómo llevar adelante un buen análisis de riesgos en los negocios
Como parte del Sistema de Gestión de Seguridad de la Información, es necesario para la empresa hacer una adecuada gestión de riesgos que le permita saber cuáles son las principales vulnerabilidades de sus activos de información y cuáles son las amenazas que podrían explotar las vulnerabilidades. En la medida que la empresa tenga clara esta identificación de riesgos podrá establecer las medidas preventivas y correctivas viables que garanticen mayores niveles de seguridad en su información.Son muchas las metodologías utilizadas para la gestión de riesgos, pero todas parten de un punto común: la identificación de activos de información, es decir todos aquellos recursos involucrados en la gestión de la información, que va desde datos y hardware hasta documentos escritos y el recurso humano. Sobre estos activos de información es que hace la identificación de las amenazas o riesgos y las vulnerabilidades.Una amenaza se puede definir entonces como un evento que puede afectar los activos de información y están relacionadas con el recurso humano, eventos naturales o fallas técnicas.  Algunos ejemplos pueden ser ataques informáticos externos, errores u omisiones del personal de la empresa, infecciones con malware, terremotos, tormentas eléctricas o sobrecargas en el fluido eléctrico.Por otra parte, una vulnerabilidad es una característica de un activo de información y que representa un riesgo para la seguridad de la información. Cuando se materi...
14 Feb 2018
5.372

Como parte del Sistema de Gestión de Seguridad de la Información, es necesario para la empresa hacer una adecuada gestión de riesgos que le permita saber cuáles son las principales vulnerabilidades de sus activos de información y cuáles son las amenazas que podrían explotar las vulnerabilidades. En la medida que la empresa tenga clara esta identificación de riesgos podrá establecer las medidas preventivas y correctivas viables que garanticen mayores niveles de seguridad en su información.

Son muchas las metodologías utilizadas para la gestión de riesgos, pero todas parten de un punto común: la identificación de activos de información, es decir todos aquellos recursos involucrados en la gestión de la información, que va desde datos y hardware hasta documentos escritos y el recurso humano. Sobre estos activos de información es que hace la identificación de las amenazas o riesgos y las vulnerabilidades.

Una amenaza se puede definir entonces como un evento que puede afectar los activos de información y están relacionadas con el recurso humano, eventos naturales o fallas técnicas.  Algunos ejemplos pueden ser ataques informáticos externos, errores u omisiones del personal de la empresa, infecciones con malware, terremotos, tormentas eléctricas o sobrecargas en el fluido eléctrico.

Por otra parte, una vulnerabilidad es una característica de un activo de información y que representa un riesgo para la seguridad de la información. Cuando se materializa una amenaza y hay una vulnerabilidad que pueda ser aprovechada hay una exposición a que se presente algún tipo de pérdida para la empresa. Por ejemplo el hecho de tener contraseñas débiles en los sistemas y que la red de datos no esté correctamente protegida puede ser aprovechado para los ataques informáticos externos.

Ahora, para que la empresa pueda tomar decisiones sobre cómo actuar ante los diferentes riesgos es necesario hacer una valoración para determinar cuáles son los más críticos para la empresa. Esta valoración suele hacerse en términos de la posibilidad de ocurrencia del riesgo y del impacto que tenga la materialización del riesgo. La valoración del impacto puede medirse en función de varios factores: la pérdida económica si es posible cuantificar la cantidad de dinero que se pierde, la reputación de la empresa dependiendo si el riesgo pueda afectar la imagen de la empresa en el mercado o de acuerdo al nivel de afectación por la pérdida o daño de la información.

A continuación te dejamos algunos pasos para hacer una evaluación de riesgos:

Establecer criterios de medición del riesgo

El primer paso consiste en definir criterios que permitan conocer la postura de la organización en cuanto a su propensión a los riesgos. Se trata de la base para la evaluación, ya que sin esta actividad no se puede medir el grado en el que la organización se ve afectada cuando se materializa una amenaza.

El método establece la creación de un conjunto de criterios cualitativos con las cuales se podrá evaluar el efecto del riesgo contra la misión y objetivos de la organización en 5 categorías:

  • Reputación/confianza del cliente
  • Financiera
  • Productividad
  • Seguridad/salud
  • Multas/penas legales

Además, hay una última que el usuario puede definir, utilizada para una preocupación específica de la empresa.

Para cada criterio se deben generar áreas de impacto, es decir, condiciones de cómo la organización se verá afectada por algún incidente de seguridad. El impacto puede ser alto, medio o bajo, y esto deberá ser definido por el personal encargado de generar los criterios de medición del riesgo.

Desarrollar un perfil de activos de información

La evaluación de riesgos que se desarrolla se enfoca en los activos de información, es decir, los conocimientos o datos que tienen valor para la organización. Se documentan las razones por la cuales se eligen y además se debe realizar una descripción de los mismos.

También, se debe asignar un custodio a cada uno de estos activos de información, el responsable de definir los requisitos de seguridad para los mismos: confidencialidad, integridad y disponibilidad, de acuerdo a su criterio y experiencia.

Se crea un perfil para cada activo de información que los encargados de la evaluación consideren como crítico, ya que forma la base para identificar amenazas y riesgos en pasos subsecuentes. Esta actividad es necesaria para asegurar que los activos se describen de forma clara y consistente, así como sus requisitos de seguridad, para definir las opciones de protección a aplicar.

Identificar contenedores de activos de información

En el tercer paso se identifican los contenedores, es decir, los repositorios donde se almacena esta información, ya que son los sitios en donde suelen llevarse a cabo los ataques contra los datos, por tales características, también son los lugares donde se aplican los controles de seguridad.

De acuerdo con este método, pueden ser del tipo técnico, físico o humano, ya que la información puede encontrarse de diferentes maneras, por ejemplo en formato digital (archivos en medios electrónicos u ópticos), en forma física (escrita o impresa en papel), así como información no representada, como las ideas o el conocimiento de los miembros de la organización.

En el mismo sentido, la información puede ser almacenada, procesada o transmitida de diferentes maneras, en formato electrónico, verbal o a través de mensajes escritos o impresos, por lo que también es posible encontrarla en diferentes estados.

Identificar áreas de preocupación

En este paso se inicia el proceso del desarrollo de perfiles de riesgo para los activos de información, resultado de la combinación de la posibilidad de materialización de una amenaza (probabilidad) y sus consecuencias (impacto).

De acuerdo con el método, un área de preocupación es un enunciado descriptivo que detalla una condición o situación del mundo real que puede afectar un activo de información en la organización. Se deben generar tantas áreas como sean necesarias para cada uno de los activos perfilados en el paso.

Se busca documentar las condiciones que preocupan a la organización en cuanto a su información crítica, por lo que se identifican riesgos evidentes sin necesidad de una revisión exhaustiva, para ello se registra información sobre quién podría llevar a cabo esta amenaza (actores), los medios por los cuales se podría ejecutar, motivos y sus resultados. Finalmente, se documenta la manera en la que las amenazas afectarían los requisitos de seguridad descritos en el segundo paso.

El análisis de riesgo es un factor-clave en el mundo de los negocios. Su ejecución correcta ayuda a tranquilizar colaboradores, empleados e incluso inversores, que estarán más seguros al lado de un emprendedor capaz de prever los posibles errores en su emprendimiento.

 

Técnico en Análisis del Riesgo con Particulares, Profesionales y Comercios

Déjanos tu comentario

Tu opinión nos ayuda a esforzarnos más para hacer programas con altos estándares de calidad que te ayuden a mejorar profesionalmente.

Por favor, escriba un nombre válido
Por favor, escriba un correo electrónico válido
Por favor, escriba un número de teléfono válido
Por favor escribe un mensaje
Por favor, acepte la política de privacidad.
Puedes consultar la información adicional y detallada sobre Protección de Datos en nuestra política de privacidad . Responsable del tratamiento: Aicad Business School S.L. Finalidad de los datos: Envío de información, boletines de noticias y ofertas. Almacenamiento de los datos: Base de datos alojada en la UE, y con transferencias internacionales de gestión a terceros países. Derechos: En cualquier momento puedes limitar, recuperar, rectificar, suprimir y borrar tu información.
Formulario enviado correctamente.

Categorías

Todos los mensajes ( 1094)

Comunidad ( 10)

Ciberseguridad ( 22)

Actualidad ( 59)

Negocios ( 29)

Tecnología ( 42)

Maestrías ( 12)

Sociedad ( 23)

Prácticas en empresas ( 17)

Estudia online ( 8)

Empresas ( 8)

Posgrados online ( 4)

Formación Oficial ( 15)

Get
more the best the best
of your talent
Fondo Social Euopeo
Gobierno de Canarias
ISO 9001
A+
Aeen Asociacion
Sequra Banner
Organización
Sobre nosotros Política de privacidad Certificación de Calidad Portal de transparencia Condiciones generales Política de cookies Familia segura
Comunidad
Conoce Aicad Emprendedores Afiliados Prensa Fundación Fintech
Ayuda
Preguntas frecuentes Solicitá mas información
Aicad Jobs
Portal Empleo Aicad Recruitment Aicad Emprendedores
Club
Club ejecutivo Club del emprendedor
Beneficios
Formación bonificada
Aicad Business School
Aicad utiliza cookies

Las cookies son importantes para ti, influyen en tu experiencia de navegación. Usamos cookies analíticas, de personalización y publicitarias (propias y de terceros) para hacer perfiles basados en hábitos de navegación y mostrarte contenido útil. Puedes aceptar este tipo de cookies pulsando el botón “Aceptar” o rechazar su uso en Configuración de cookies. Para más información, lea la Política de Cookies de Aicad.