Un proceso práctico de análisis de riesgos de activos de información

Abstract

El artículo presenta un proceso de análisis de riesgos de activos de información, en el contexto de un Sistema de Gestión de Seguridad de Información (SGSI) alineado al estándar ISO/IEC 27001:2005 y un software (prototipo) que le brinda soporte, aunado a un portal cuyo contenido tiene por finalidad sensibilizar en gestión de riesgos y seguridad de información. Este proceso sigue los lineamientos de los principales estándares y buenas prácticas en gestión de riesgos y seguridad de la información, y viene siendo aplicado en el país en los últimos cinco años. El presente proceso utiliza el marco referencial Magerit (Metodología de Análisis y Gestión de Riesgos de Tecnologías de Información) como eje de la propuesta, no obstante cabe mencionar que a diferencia de este marco, el proceso en mención incorpora el Análisis de Impacto de Negocio(BIA), el cual tiene por objetivo evaluar el impacto sobre los procesos de negocio, debido a la no disponibilidad de los servicios de tecnologías de información, lo que posteriormente se deriva en la obtención del nivel de criticidad para cada activo de información, lo cual es indispensable para establecer el nivel de riesgo de los mismos.