miércoles, 26 de marzo de 2014

Análisis de Riesgos

Que es el Análisis de Riesgos?

El análisis de riesgo, también conocido como evaluación de riesgo o PHA por sus siglas en inglés Process Hazards Analysis, es el estudio de las causas de las posibles amenazas y probables eventos no deseados, como lo son daños o consecuencias que éstas puedan producir


 Metodología de Evaluación de Riesgos Informáticos

Conjunto de métodos que se siguen en una investigación científica o en una exposición doctrinal.

Conceptos fundamentales: Definiciones para profundizar las metodologías

  • Conceptos Fundamentales Amenazas
  • Vulnerabilidad
  • Riesgo
  • Exposición o Impacto

Metodologías Cualitativas/Subjetivas

Basadas en métodos estadísticos y raciocinio humano. Precisan de la involucración de un profesional
experimentado. Pero requieren menos recursos humanos que las metodologías cuantitativas.

Metodologías cuantitativas 

  • Basadas en FIPS 65
  • Método de IBM: basado en técnica de DELPHI = consenso de expertos para determinar los costos.
  • RISKCALC
  • BDSS

Metodologías cualitativas

  • LAVA: Los Alamos Vulnerability/ Risk Assessment
  • RISKPAC
  • MARION
  • CRAMM:  metodología de análisis y gestión de riesgos desarrollada por el CCTA inglés.


No se tiene en cuenta la frecuencia para valorar los riesgos. La tabla muestra un claro ejemplo donde se emplea una matriz impacto/posibilidad de ocurrencia de una amenaza para determinar el nivel de riesgo que se tiene. "Aquí el riesgo indica las pérdidas ante la posibilidad de presentarse la amenaza. 

Las principales metodologias de análisis de riesgos:

  • COSO
  • MARGERIT:  metodología española de análisis y gestión de riesgos para los sistemas de información, promovida por el MAP y diferente a la UNE 71504.
  • COBIT
  • OCTAVE:  metodología de evaluación de riesgos desarrollada por el SEI (Software Engineering Institute) de la Carnegie Mellon University.


Conclusión: Existe una gran variedad de metodologías, muchas de ellas con reconocimiento internacional, pero lamentablemente todas distintas. Es cierto que, como metodologías de análisis de riesgos que son, todas se parecen, pero no se puede decir que sean compatibles de entrada. Cada una tiene sus particularidades, sus puntos fuertes y será trabajo de quien quiera utilizarlas el saber sacar lo mejor de cada una de ellas.
Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)