Libros de Seguridad de la Información

sábado, 14 de julio de 2007

Riesgo: Términos y Definiciones

A continuación vamos a listar los términos y definiciones más importantes en el mundo de Gestión y Análisis de Riesgo.
  1. Riesgo: es la combinación de la probabilidad de un evento y su consecuencia.
  2. Evento de Seguridad de la Información: es un estado que señala la ocurrencia identificada en un sistema, servicio o red; la cual indica una posible brecha en la política de seguridad de la información o una falla de la contramedida; o una situación previamente desconocida la cual pudiere ser relevante en materia de seguridad.
  3. Incidente de Seguridad de la Información: es indicado o por una simple o por una serie de indeseables e inesperados eventos de seguridad de la información que tienen una probabilidad significante de comprometer las operaciones del negocio y amenazar la seguridad de la información.
  4. Amenaza: causa potencial de un incidente, que pudiera resultar en daño a los sistemas o a la organización.
  5. Vulnerabilidad: es una debilidad en un activo o grupo de activos que pueden ser explotados por una o más amenazas.
  6. Control del Riesgo: acción de implementar las decisiones en la administración de los riesgos. Pudiera ser el monitoreo, la re-evaluación o cumplimiento de las decisiones. También es conocido como contramedidas.
  7. Análisis de Riesgo: es el uso sistemático de la información para identificar y estimar el riesgo.
  8. Evaluación de Riesgo: es el proceso completo de analizar y valorar el riesgo.
  9. Criterio del Riesgo: termino de referencia por el cual la importancia del riesgo es valorado. Incluye los costos-beneficios asociados, requerimientos legales y estatutarios, aspectos socio-económicos y ambientales, todo lo concerniente con los actores interesados (stakeholder), prioridades y otras entradas en la evaluación.
  10. Valoración de Riesgo: proceso de comparar el riesgo estimado contra el criterio de riesgo resultante para determinar la importancia del riesgo.
  11. Tratamiento del Riesgo: proceso de seleccionar e implementar las medidas para modificar el riesgo.
  12. Administración del Riesgo: es la coordinación de las actividades para dirigir y controlar una organización en referencia al riesgo.
  13. Sistema de Administración de Riesgo: conjunto de elementos que componen el sistema de gestión de una organización con respecto a administración del riesgo. Por ejemplo: el plan estratégico y la toma de decisiones.
  14. Comunicación del Riesgo: intercambio o distribución de la información acerca del riesgo entre quien toma las decisiones y otras actores interesados (stakeholder).
  15. Aceptación del Riesgo: es la decisión de aceptar el riesgo.
  16. Anulación del Riesgo: decisión de no estar envuelto o acción de retirarse de un situación de riesgo.
  17. Reducción del Riesgo: es la acción tomada para disminuir la probabilidad de ocurrencia, consecuencias negativas, o ambas, asociadas con un riesgo.
  18. Transferencia del Riesgo: compartir con otro grupo la carga de la pérdida o ganancia por un riesgo.
  19. Riesgo Residual: es el riesgo que queda luego de haber tratado el riesgo.
La relación de los conceptos de riesgo puede ser entendida con el siguiente modelo:



Este modelo y parte de los conceptos listados fueron basados en el ISO 13335, ISO Guide 73 y BS7799-3.
Google