Licencia

Creative Commons License
Aprende Y Conoce ¡¡REDES!! by paola rios ramirez is licensed under a Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Unported License.
Based on a work at redes-pao.blogspot.com.

martes, 1 de mayo de 2012

Analisis De Riesgo (Entrevista)


Esta es una entrevista realizada a una persona que trabaja en el área de seguridad de la información, en esta entrevista se indaga un
poco sobre los procedimientos en auditorias de seguridad, análisis de riesgos y análisis de vulnerabilidades.


Entrevista Parte 1

Entrevista Parte 2



Entrevista con el joven jhonatan quintero de la especialización de seguridad en redes e informática.


Preguntas:
1. Qué es un analisis de riesgo?
R/: Un analisis de riesgo es la segunda estapa cuando se esta implementando seguridad en una empresa, ya que la primera etapa seria un análisis de vulnerabilidades donde se busca todo lo vulnerable en la empresa y despues de haber encontrado todas estas vulnerabilidades se pasaria a la etapa de analisi de riesgo donde dichas vulnerabilidades son detalladas, analizadas y clasificadas en una categoría que podria ser baja, media y alta, dependiendo de esta categoría de riesgo que puede ser baja, media o alta se procederia a ver que riesgos o vulmnerabilidades se van a entender primeramente.

2. Qué pretende un analisis de riesgo?
R/: Como comentaba hace un momento en un análisis de riesgo se busca identificar que es lo que esta mas delicado o critico en un proceso en la empresa en este caso y ver ese riesgo porque lado esta siendo generado para poder evitarlo o poder solucionarlo ya que es imposible que un riesgo se desaparezca en un 100% pero lo menos mitigarlo para que no sea tan fuerte.

3. Qué etapas se presentan en un analisis de riesgo?
R/: Las etapas del analisis de riesgo serian mas o menos el escaneo o la busqueda de que riesgos axisten de ahi mirar porque sucede o que lo genera y luego proceder a ver que correcciones se le podian hacer a estos riesgos o amenazas para que no sea tan fuerte el impacto.

4. Cuál es la relacion entre estimacion y manejo de riesgo?
R/: Una estimacion es algo que no estima o cree que tiene valor como lo comentaba cuando se hace en la primera etapa un analisis de vulnerabilidades y luego se pasa al analisis de riesgo, se hace una estimacion de que tan grave es un proceso o una falla por ejemplo uno dice el riesgo A es critico generaria un daño de 100% cuando se genere pero a la hora de implementar la solucion o de manejar ese riesgo se puede encontrar de que tal vez se le dio una estimacion demasiada alta o muy baja ya que el procedimiento para solucionarla o los motivos para que este riesgo se de son muy porcentuales y darian un valor muy diferente  al que se dio en la primera estimacion.

5. Cuáles son los beneficios de realizar un analisis de riesgo?
R/: Un analisis de riesgo nos prepara para cuando suceda un inconveniente tener un plan de contingencia para evitar que nos coja por sorpresa cuando se ha hecho un analisis de riesgo podemos tener una idea de que si se ve la luz en el centro del computo ya que un plan ya hay  un plan de contigencia para que no genere una afectacion tan grande en la empresa.

6. Cuáles son los pasos a seguir para realizar un analisis de riesgo?
R/: Los pasos a seguir son 
1- revisar si ya se han hecho antes analisis en la empresa de vulnerabilidades o de riesgos ya sean otras personas de sistemas o de administración o tecnicos anteriores, revisando si existen estas vulnerabilidades o estos analisis de riesgos revisar cuales  son viegentes a la fecha, cuales podrian todavia suceder y de ahi pasar hacer una estimacion de que tan graves son  y luego darles una valoración real, si en la primera no existe un analisis de riesgo empezar el procedimiento de levantacion de la informacion con una persona que conozca completamente la empresa no solamente  desde lo técnico si no también los procesos ya que muchas veces se enfoca a que sea el de sistemas el que hace el procedimiento pero no tenemos en cuenta de que puede ser de ingeniería o el de producción a las personas de gerencia que sepan guiarnos a ciertos procesos que también puedan ser muy delicados y estén vinculados con los de sistemas, cuando se haya levantado este listado de información, repetir lo anterior, repetir la estimación del riesgo y su clasificación.

7. Ha realizado en alguna empresa o institución un plan estratégico de seguridad y un plan de ejecución del mismo?
R/: A nivel educativo no tanto profesionalmente si no actualmente con la especialización me vi forzado o mas motivado a realizar un análisis de riesgo en la empresa donde trabajo pero pata mi propia cuenta me toco realizar el proceso de levantamiento de la información y demás lo que fue un poco tedioso y largo ya que lo tuve quehacer solo y no podía contar con la ayuda de mis compañeros de trabajo ni nada porque era algo mas personal no era para la empresa sino por motivos educativos para la especialización en la que estoy actualmente, entonces si la he hecho no muy completo ni detallado pero si se ha hecho el procedimiento de levantar la información, revisar los riesgos de los que conozco y preguntarle a las diferentes personas de distintas áreas. 
un plan de ejecución del mismo no lo he ejecutado la idea que tengo es ciando tenga ya desarrollado todo el análisis de riesgo hacer un informe bien detallado de acuerdo a todas las normas que existen y presentárselo a mis superiores haber si es posible su aceptación.

8. Cómo se empleo la seguridad en la empresa o institución?
R/: A nivel personal en la empresa en la cual estoy, la segunda es muy larga ya que cuando uno empieza a tocar ciertos temas de seguridad de datos, seguridad de redes se nota que uno nunca va estar completamente seguro y que hay muchos controles, muchos procedimientos y normas que si uno lo va a mirar desde las que se aplican, a nivel personal puedo decir que en mi empresa las normas de seguridad  no existan no hay distribución de redes por vlan, nada toda la organizacion se puede ver, no hay contramedidas o politicas de seguridad para que los usuarios no saquen informacion por usb como si lo he notado en otras organizaciones, entonces el nivel de seguridad que se emplea en la empresa es muy relativo, hay empresas que si son muy extrictos con esto y estan certificados, manejan una norma como hay otras como en mi caso que esto no se maneja y que cuando uno empieza a explorar todo el tema de la seguridadse asusta y se ve que de mialgro no ha pasado algo mas grave en la empresa.

9. Entiendes que existe un plan de seguridad, existen probabilidades de que exista un fallo de este plan?
R/: La verdad he aprendido que no hay nada seguro en esta vida entonces un plan de seguridad nos va a mantener  prevenidos, un análisis de riesgo nada mas nos va a preparar para eso pero nunca nos va a garantizar de que estamos 100% seguros siempre va a haber la forma de que por algún lado va haber la probabilidad de un 1% 0.01% de que haya un fallo y este fallo puede provocar un gran estrago lo único que podemos es mitigar con la seguridad y con los análisis de riesgo que esto ocurra y que esa mitigación de ese rango sea aun mas pequeños pero nunca vamos a estar seguros entonces la probabilidad  de que ocurran los fallos siempre van a estar y por eso estamos en este proceso de aprender.     





No hay comentarios:

Publicar un comentario