Estimacin del grado de exposicin de una amenaza sobre uno o ms activos causando daos o perjuicios a la Organizacin.

El riesgo indica lo que le podra pasar a los activos si no se protegieran adecuadamente.

Las amenazas son eventos que pueden producir daos materiales o inmateriales en los activos. Las amenazas son cosas que ocurren. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un dao.

Hay amenazas naturales (terremotos, inundaciones, ...) y desastres industriales o servicios (contaminacin, fallos elctricos, ...) ante los cuales el sistema de informacin es vctima.

Tambin hay amenazas causadas por las personas, bien errores o bien ataques intencionados.

Gracias a este anlisis de riesgos conoceremos el impacto econmico de un fallo de seguridad y la probabilidad realista de que este ocurra .

El objetivo principal de este proceso es establecer el marco general de referencia para todo el anlisis. Esta etapa incluye la estimacin de:

Personal tcnico: Personas cuya funcin es recabar la informacin y establecer las medidas necesarias para cumplir con el anlisis. Usuarios: Son aquellas de quienes se recoger la informacin dentro de la organizacinRecursos econmicos necesarios para la ejecucin. Definir los objetivos del proceso de anlisis de riesgos. Tiempo estimado para realizar el anlisis y elaborar las polticas.

Se denomina activos a los recursos del sistema de informacin o relacionados con ste, necesarios para que la Organizacin funcione correctamente y alcance los objetivos propuestos por su direccin.Conviene repetir que slo interesan los recursos de los sistemas de informacin que tienen un valor para la Organizacin. A ttulo de ejemplo, un servidor donde se encuentre almacenada toda informacin es un activo de mucho valor. Todo su valor es imputado: la indisponibilidad, la interrupcin del servicio es el valor de disponibilidad que se le imputar al servidor el acceso no controlado al servidor pone en riesgo el secreto de los datos que presenta. el coste que suponga la prdida de confidencialidad de los datos es el valor de confidencialidad que se le imputar al servidor.

Quizs la mejor aproximacin para identificar los activos sea preguntar directamente: Qu activos son fundamentales para que la organizacin consiga sus objetivos?Hay ms activos que se tengan que proteger por obligacin ? Hay activos relacionados con los anteriores?No siempre es evidente identificar un activo. Si por ejemplo se tienen 300 puestos de trabajo o PC, todos idnticos a efectos de configuracin y datos que manejan, no es conveniente analizar 300 activos idnticos. Basta analizar un PC genrico que cuya problemtica representa la de todos. Agrupar simplifica el anlisis. Otras veces se presenta el caso contrario, un servidor central que se encarga de varias funciones: servidor de archivos, de mensajera, de la intranet, del sistema de gestin documental y ... En este caso conviene segregar los servicios prestados y analizarlos por separado.

Tipo de amenaza: Tipos de activos:Dimensiones: Descripcin:

Tipo de activo:Amenazas:Dimensiones: Descripcin:

Escala de valoracin de riesgos:

ValorCriterio10Muy altoDao muy grave a la organizacin7-9altoDao grave 4-6medioDao importante1-3bajoDao menor0despreciableirrelevante