23 febrero 2009

Análisis de riesgos orientado a negocio

Hoy quiero rescatar un extenso post sobre análisis de riesgos que leí hace ya algún tiempo, y que creo que puede aportar ciertos detalles que enriquecen los enfoques tradicionales de este tipo de actividades. El autor explica en su post su método de realización de análisis de riesgos, partiendo de un enfoque cuantitativo tradicional de los mismos y analizando sus dificultades. Del post, que invito a leer a todo aquél que esté interesado en explicaciones detalladas sobre este tipo de actividades, me gustaría extraer varios aspectos que me han parecido interesantes:
  • Orientación a procesos del análisis de riesgos: El autor propone llevar a cabo un análisis de los procesos más importantes para el negocio, identificando en cada uno de ellos las entradas, las salidas y los recursos necesarios para llevar a cabo el proceso, y tomar esa identificación como el registro de activos. Este planteamiento permite realizar un análisis de riesgos con orientación a negocio y que por otra parte encaja a la perfección en un modelo de gestión por procesos, con lo que a muchas organizaciones este planteamiento les puede venir como anillo al dedo.
  • Cuantificación del análisis: Con un análisis de riesgos orientado al negocio es posible llegar a cuantificar los impactos que pueden producir la materialización de las amenazas, con lo que sería posible cuantificar el análisis incluso desde el punto de vista económico. Además, el artículo propone varias vías para poder lograr y ajustar esta cuantificación.
  • Orientación de los beneficios de los controles en función de su tipología: El artículo propone tener en cuenta la tipología de los controles (preventivos, detectivos, correctivos) para evaluar su idoneidad y estimar la conveniencia de hacer uso de uno u otro en función de las necesidades.

La verdad es que el artículo contiene una gran cantidad de detalles que, si realmente requieres de un análisis de riesgos con mucho detalle o incluso cuantitativo, pueden servir de referencia. Y el ejemplo utilizado seguro que puede servir de inspiración para otro tipo de análisis ante los que os podais enfrentar. En definitiva, una referencia altamente recomendable.

4 comentarios:

Anónimo dijo...

Buenas tardes,

Me estoy introduciendo en esto de la implantacion de sgsi y la verdad que cuestiones como evaluación de riestos o bia en los planes de continuidad de negocio son conceptos que me asuntan.

¿podias poner algun ejemplo con números y un ejemplo practico para que tus suscriptores que estamos aprendiendo podamos avanzar?

Gracias,

Jose Manuel

Joseba Enjuto dijo...

No creo que publicar otro ejemplo más aporte demasiado a la hora de aprender a realizar un análisis de riesgos. Varias de las referencias linkadas desde distintos artículos del blog incluyen ejemplos de análisis de riesgos y BIAs, y no creo que consultar un ejemplo más sirva para aprender a realizarlos. La única forma de aprender es pelearse con ellos una y otra vez, sobre todo porque gran parte de la dificultad de un análisis de riesgos bien hecho radica en entender el negocio, y eso sólo se aprende con la práctica.

Suerte con la aventura, y espero que el blog te sirva de ayuda.

Jonathan alfonso arevalo coronel dijo...

no conoce de alguna heramienta gnu para realizar analisis de riesgos a proyectos tecnologicos?

Joseba Enjuto dijo...

Hola,

La única herramienta GPL que conozco que incorpora un módulo de análisis de riesgos es Securia SGSI, y es un módulo para análisis de riesgos de seguridad de la información, no estrictamente de análisis de riesgos de proyectos tecnológicos.