- Orientación a procesos del análisis de riesgos: El autor propone llevar a cabo un análisis de los procesos más importantes para el negocio, identificando en cada uno de ellos las entradas, las salidas y los recursos necesarios para llevar a cabo el proceso, y tomar esa identificación como el registro de activos. Este planteamiento permite realizar un análisis de riesgos con orientación a negocio y que por otra parte encaja a la perfección en un modelo de gestión por procesos, con lo que a muchas organizaciones este planteamiento les puede venir como anillo al dedo.
- Cuantificación del análisis: Con un análisis de riesgos orientado al negocio es posible llegar a cuantificar los impactos que pueden producir la materialización de las amenazas, con lo que sería posible cuantificar el análisis incluso desde el punto de vista económico. Además, el artículo propone varias vías para poder lograr y ajustar esta cuantificación.
- Orientación de los beneficios de los controles en función de su tipología: El artículo propone tener en cuenta la tipología de los controles (preventivos, detectivos, correctivos) para evaluar su idoneidad y estimar la conveniencia de hacer uso de uno u otro en función de las necesidades.
La verdad es que el artículo contiene una gran cantidad de detalles que, si realmente requieres de un análisis de riesgos con mucho detalle o incluso cuantitativo, pueden servir de referencia. Y el ejemplo utilizado seguro que puede servir de inspiración para otro tipo de análisis ante los que os podais enfrentar. En definitiva, una referencia altamente recomendable.
Buenas tardes,
ResponderEliminarMe estoy introduciendo en esto de la implantacion de sgsi y la verdad que cuestiones como evaluación de riestos o bia en los planes de continuidad de negocio son conceptos que me asuntan.
¿podias poner algun ejemplo con números y un ejemplo practico para que tus suscriptores que estamos aprendiendo podamos avanzar?
Gracias,
Jose Manuel
No creo que publicar otro ejemplo más aporte demasiado a la hora de aprender a realizar un análisis de riesgos. Varias de las referencias linkadas desde distintos artículos del blog incluyen ejemplos de análisis de riesgos y BIAs, y no creo que consultar un ejemplo más sirva para aprender a realizarlos. La única forma de aprender es pelearse con ellos una y otra vez, sobre todo porque gran parte de la dificultad de un análisis de riesgos bien hecho radica en entender el negocio, y eso sólo se aprende con la práctica.
ResponderEliminarSuerte con la aventura, y espero que el blog te sirva de ayuda.
no conoce de alguna heramienta gnu para realizar analisis de riesgos a proyectos tecnologicos?
ResponderEliminarHola,
ResponderEliminarLa única herramienta GPL que conozco que incorpora un módulo de análisis de riesgos es Securia SGSI, y es un módulo para análisis de riesgos de seguridad de la información, no estrictamente de análisis de riesgos de proyectos tecnológicos.