Metodología de análisis y evaluación de riesgos de sistemas informáticos.

Para evaluar la Seguridad Informática, deberemos realizar un análisis de riesgos que incluye la siguiente secuencia de acciones:

1. Determinar qué se trata de proteger.
2. Determinar de qué es necesario protegerse.
3. Determinar cuan probables son las amenazas.
4. Implementar las medidas que protejan los activos informáticos de una manera rentable.
5. Revisar continuamente este proceso y perfeccionarlo cada vez que una debilidad (vulnerabilidad) sea encontrada.

Para ello, el primer paso consistirá en el desarrollo de un listado que contenga la relación de los activos y recursos identificados y la importancia estimada de los mismos. Este proceso nos permitirán más adelante valorar su importancia.

Este método brinda la posibilidad de conocer que activo o recurso, o que área en particular esta sometida a un riesgo mayor y de que naturaleza, lo que permite la selección adecuada de los mecanismos de seguridad que deben ser establecidos en cada uno de los casos, garantizándose de esta manera una correcta proporcionalidad por medio de una buena relación entre costos y beneficios. La profundidad con que el método sea aplicado determinará la calidad del sistema diseñado. Por otra parte, desde el momento que los resultados dependen de valores estimados, las conclusiones obtenidas deben ser tomadas como una aproximación al problema, que puede ser ajustada en sucesivas revisiones, en correspondencia con la práctica diaria. Lo importante, en última instancia, es realizar el análisis de riesgos. Los conceptos anteriormente explicados pueden ser aplicados en diversas variantes y con más o menos rigor, pero de alguna forma es imprescindible empezar a utilizarlos.