EAR
>
FAQ
 |
 |
EAR / FAQ
Entorno de análisis de riesgos
|
FAQ: Preguntas frecuentes
Es una actividad básica para gestionar la seguridad de
un sistema de información.
El análisis del riesgo es una técnica para recopilar los activos
técnicos y operacionales del sistema, valorarlos en la medida en
que el negocio se vería afectado por su pérdida y levantar un mapa
de las amenazas a las que está expuesto. El resultado es un mapa de
riesgos y una valoración de los activos en base a su nivel o estado
de riesgo que es, en definitiva, la medida de lo que puede perder
la organización.
Es una aproximación ordenada para mantener el riesgo bajo control.
Se utilizan los resultados del análisis como información
para tomar decisiones de tratamiento orientado a evitar,
transferir, mitigar o simplemente aceptar los riesgos identificados.
Se sigue la metodología Magerit, estándar de la Administración Central
del Estado y reconocida por la OTAN.
Las herramientas EAR permiten clasificar los activos, valorarlos
con escalas pautadas, establecer un mapa de riesgos contra un
catálogo de amenazas y determinar el efecto de los controles
sobre el estado de riesgo. Permite trabajar con varias bibliotecas,
en particular con la 27002 de ISO y con los Criterios de Seguridad,
Normalización y Conservación del Consejo Superior de Informática y
para el Impulso de la Administración Electrónica.
- Es la base para un Plan [ Director ] de Seguridad
que marque la estrategia corporativa de evolución
- Es paso preliminar necesario para una certificación del sistema
de gestión de la seguridad de la información
(ISO 27001 u otros referentes como Basilea II, Sarbanes-Oxley, ...)
pues determina qué controles son relevantes en un sistema
y permite al auditor contrastar la implantación real con las
necesidades impuestas por el riesgo al que está sometida la organización.
Para certificar un SGSI
(Sistema de Gestión de la Seguridad de los Sistemas de Información)
debe realizar una serie de tareas previas:
- Debe realizar un análisis de riesgos que cubra
todos los sistemas afectos a la futura certificación.
Gracias a este análisis de riesgo podrá justificar
- qué controles son pertinentes
(justificando los que no aplican)
- qué grado de calidad requiere en los controles,
lo que servirá de guía y justificación frente al evaluador:
- la Declaración de Aplicabilidad
(en inglés, SoA - Statement of Applicability).
- A continuación debe realizar una fase de gestión del riesgo,
implantando las salvaguardas necesarias para reducir el riesgo a un
valor residual acaptable por la Dirección de su Organización.
- Puede realizar una auditoría interna preparatoria.
- Póngase en contacto con la Entidad de Certificación
que le indicará los pasos a seguir en el proceso formal.
