La primera fase a realizar consiste en un exhaustivo análisis de riesgo de seguridad para identificar

el estado en que se encuentra la seguridad dentro de la organización y proponer contramedidas

como salvaguardas.

El análisis de riesgos es conocido como el proceso sistemático para estimar la magnitud de los
riesgos a que está expuesta una organización. Permite determinar cómo es, cuánto vale y cómo de
protegido se encuentra un sistema, siguiendo los objetivos, estrategia y política de la organización
para elaborar un plan de seguridad.

El riesgo de que ocurra una amenaza se refiere al impacto de esta ocurrencia en los objetivos de
negocio. No se debería invertir en una contramedida para una amenaza que presenta un factor de
riesgo bajo.

Comentario:

La fase de análisis y valoración de riesgos puede subdividirse en dos etapas de identificación y

priorización de amenazas y el establecimiento de salvaguardas.

Identificación y priorización de amenazas

El primer paso es el establecimiento de la política de seguridad es conocer las amenazas que

puede sufrir la organización, y conocer la importancia del impacto que pueden producir. La mayor
parte de las amenazas atacan a alguno de los siguientes aspectos:

- Integridad y autenticación
- Confidencialidad
- Disponibilidad
- No repudio

Los tipos de amenazas que puede sufrir una organización dependen del tipo de organización o de
la forma en que utiliza la tecnología para realizar sus procesos de negocio diarios. Antes de realizar
en análisis debemos considerar la valoración de los riesgos,. Debido a que debemos tener el
conocimiento de cuales son los tipos de datos que se procesan, el tipo de sistema utilizado, los
usuarios que tienen acceso, los responsables y estrategias de responsabilidad.

A continuación presentaremos una tabla 1. donde se mostrara según el nivel de impacto las
amenazas, donde se muestre las diferentes amenazas a las que puede estar sometido el sistema
de información los mismos que pueden ser virus, troyanos, fallos de software, fallos del hardware,
ataques por medio del internet y el nivel de impacto de cada amenaza en la entidad.

Tipo de Riesgo Factor

Robo de hardware Alto
Robo de información Alto
 Vandalismo Medio
Fallas en los equipos Medio
Virus informáticos Medio
Equivocaciones Medio
Accesos no autorizados Medio
Fraude Bajo
Fuego Muy bajo
Terremotos Muy bajo
Tabla1. Tipo de Riesgo-Factor

Según esta tabla habrá que tomar las medidas pertinentes de seguridad para cada caso
en particular, cuidando incurrir en los costos necesarios según el factor de riesgo
representado.