El análisis de riesgo en la seguridad de la información

Resumen

El propósito de este artículo consiste en ofrecer un conjunto de reflexiones conceptuales sobre la seguridad de la información y específicamente sobre el análisis de riesgos y su importancia en las organizaciones. Por lo que, el recurso más importante y afectado en toda organización pública y privada, grande o pequeña, es la información, por lo cual toda organización debe estar alerta e implementar sistemas de seguridad basados en un análisis de riesgo para evitar o mitigar las consecuencias no deseadas. El análisis de riesgo es un proceso que permite identificar las amenazas y vulnerabilidades de una organización con el objetivo de generar controles que minimicen los efectos de los riesgos, el cual implica determinar que o cuáles activos proteger, de qué o de quién hay que protegerlos y cómo hacerlo. El análisis de riesgos debe realizarse de forma continua dado que es necesario evaluar periódicamente si los riesgos identificados y la exposición a los mismos se mantienen vigentes; y es de vital importancia porque permite identificar los impactos futuros en la estructura de riesgos de la organización. Internacionalmente existe una norma, ISO 27005:2008 publicada en junio del año 2008, que establece criterios sobre la gestión del riesgo de la seguridad de la información y proporciona un marco normalizado que sirve de guía para definir metodologías propias para cada organización, esta norma sirve de apoyo a la norma ISO 27001:2005 que proporciona un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI).