Quartz 4

2025 02 14 Evaluacion De Activos Y Gestion De Riesgos

2 min read

Para evaluar un activo desde la perspectiva de un director, necesitas un enfoque estructurado basado en metodologías de gestión de riesgos. Aquí tienes una guía simplificada:

1. Identificación del Activo

Relacionado: Controles. Forense de memoria de sistema completo. 2025 02 20 Seguridad iOS memoria permisos y sandboxing. Sistema de Gestion de la Seguridad de la Informacion. 2025 02 13 TPM UEFI y sistemas Anticheat.

Un activo puede ser información, sistemas, infraestructura o procesos. Primero, debes identificar qué activos son críticos para la organización y quiénes son los responsables de su gestión. Para ello:

  • Consulta a los responsables de cada área que manejen los activos.
  • Utiliza inventarios de activos si están disponibles.
  • Define el valor del activo en función de su importancia para la operación y sus costos asociados.

2. Identificación de Amenazas

Las amenazas son eventos o actores que pueden causar daño al activo. Aquí ya tienes una lista de amenazas identificadas. Asegúrate de clasificarlas en:

  • Amenazas naturales (desastres, incendios, inundaciones).
  • Amenazas humanas (errores, sabotajes, ataques cibernéticos).
  • Amenazas tecnológicas (fallos en hardware/software, vulnerabilidades no parcheadas).

3. Identificación de Vulnerabilidades

Las vulnerabilidades son las debilidades que pueden ser explotadas por una amenaza. Aquí es clave entender:

  • ¿Cuán expuesto está el activo a las amenazas identificadas?
  • ¿Existen controles o medidas de mitigación?
  • ¿El activo depende de servicios externos (outsourcing) que pueden representar un riesgo adicional?

4. Valoración del Impacto

El impacto de una amenaza sobre un activo depende de varios factores, como:

  • Pérdidas económicas directas.
  • Daño a la reputación de la organización.
  • Pérdida de datos críticos o interrupción de operaciones.

Se puede usar una metodología cualitativa (bajo, medio, alto) o cuantitativa (valor en euros/dólares de la posible pérdida).

5. Aplicación de una Metodología de Evaluación

Existen metodologías como ISO 27005, NIST SP 800-30 o MAGERIT que proporcionan un marco estructurado para evaluar el riesgo. Como director, debes decidir cuál aplicar y asegurarte de que la evaluación sea coherente con los objetivos estratégicos de la empresa.

En última instancia, tú defines cómo se aplica la metodología, pero siempre basado en información de los responsables de activos, el análisis de amenazas y la valoración del impacto.

Graph View

Backlinks