T-RISK
LA SOLUCION PARA ANALISIS DE RIESGOS DE SEGURIDAD DE LA INFORMACION

Gestion del Riesgo

Todas las actividades de la estrategia y gestión de seguridad de la información nacen de un análisis y valoración previa del riesgo para ser efectivas.

De hecho, la evaluación y el análisis de riesgos sobre los activos de información, es la actividad principal del Responsable de Seguridad de la Información.

Es importante comprender que el análisis de riesgo no solo debe ser tecnológico, es decir, centrado en activos informáticos de TI, sino que debe cubrir los procesos y servicios de negocio, centrado en activos de información del negocio.

La gestión de riesgos se divide en las siguientes fases:

  • Establecer alcance y límites (procesos y servicios).
  • Evaluar los Riesgos (identificar, analizar y valorar)
  • Tratamiento de Riesgos (evitar, mitigar, transferir, asumir)
  • Aceptar el riesgo residual.

Además de los procesos transversales de Comunicación y Monitoreo del riesgo

T-RISK

T-RISK es una solución que le permite realizar la gestión completa de los riesgos, desde que son identificados, evaluados, analizados y valorados, hasta que obtienen una estrategia de respuesta para ser aprobados por la alta dirección de la organización.

Basado en el estándar internacional ISO 27005

El modelo metodológico para la evaluación de riesgos de seguridad en la organización, debe apoyarse en estándares internacionales como por ejemplo ISO/IEC 27005 (Gestión del Riesgo en la Seguridad de la Información) el cual es naturalmente compatible con los principios para la Gestión de Riesgos definidos en el estándar internacional ISO 31000. El objetivo de T-RISK no es únicamente analizar el riesgo tecnológico, sino el riesgo para la seguridad de la información en los procesos y servicios de negocio, ya sea de forma cualitativa, semicuantitativa o cuantitativa según la madurez de la organización.

Beneficios de T-RISK

Realizar evaluaciones de riesgos por procesos y servicios de negocio, más allá de lo técnico.
Definir un catálogo de amenazas y su aplicabilidad a la seguridad de la información.
Elegir entre valoraciones cualitativas, semicuantitativas y cuantitativas del riesgo.
Comunicar los riesgos al negocio mediante mapas de calor intuitivos.
Definir y registrar estrategias de respuesta a los riesgos mediante opciones de tratamiento.
Emitir reportes ejecutivos de riesgos para toma de decisiones por parte de la Alta Gerencia.
Elaborar escenarios de riesgo acordes al giro de negocio de la organización.
Mantener un registro histórico de los análisis de riesgo realizados por gestión y las decisiones de Aceptación.
Visualizar un Dashboard con gráficas ejecutivas sobre niveles de riesgo en los servicios de la organización y el estado de los AA.RR.
Previous
Next

Tratamiento de Riesgos

T-RISK permite registrar al menos 4 tipos de estrategias para
responder los riesgos:
1. Evitar/cesar la actividad que da origen al riesgo: Cuando el
costo del control es mayor al beneficio esperado.
2. Transferir el riesgo o compartirlo: Cuando el riesgo persiste
pese a la implementación de controles propios.
3. Mitigar el riesgo: Cuando el riesgo puede ser minimizado
implementando medidas y mecanismos de control sin ayuda
de terceros.
4. Asumir/retener el riesgo: Cuando el impacto del riesgo es
menor al costo de implementar el control, por tanto la
organización puede convivir con el riesgo.

Considere el Riesgo Agregado

Una Amenaza afecta a X vulnerabilidades, que en conjunto
producen un impacto importante. O bien, cuando X
amenazas afectan simultáneamente a X vulnerabilidades
menores cuya suma de impacto es importante, como se
expone a continuación:

Cálculo de Probabilidad

El algoritmo del análisis semicuantitativo de T-RISK le permite
realizar cálculos de probabilidad con mayor objetividad,
considerando variables como ser: verosimilitud de las amenazas,
frecuencia de ocurrencia, factores de aplicabilidad, madurez de
los controles, capacidades de protección sobre los activos, entre
otros como se expone a continuación:

Capacidades principales

Ud. puede adicionar su propio catálogo de amenazas en T-RISK según los escenarios de riesgo a evaluar, definiendo aquellos procesos y servicios de negocio que serán sometidos al análisis de riesgos para luego ser aprobados por las gerencias correspondientes.
T-RISK le permite definir los activos de información y niveles de riesgo según la metodología de gestión de riesgos utilizada o aprobada en su organización. El objeto de esta definición, es que el análisis de riesgo sea estándar y ágil para una adecuada y pronta toma de decisiones.
El resultado de este proceso es una lista de escenarios de incidentes con las consecuencias derivadas de estos, relacionadas con los
activos y procesos de negocio.

T-RISK cuenta con tres módulos para la valoración de riesgos:

• Análisis de Riesgo CUALITATIVO
• Análisis de Riesgo SEMI-CUANTITATIVO
• Análisis de Riesgo CUANTITATIVO

Ud. podrá realizar desde análisis básicos y sencillos de forma cualitativa, hasta análisis avanzados
cuantificando las expectativas de pérdida anual.
Las fórmulas matemáticas utilizadas por la herramienta son proporcionadas al cliente.

Los mapas de calor son una herramienta indispensable en la etapa de Comunicación del Riesgo, ya que le permiten
exponer de forma ilustrativa al negocio, aquellas amenazas identificadas según el escenario de riesgo, comparando de forma sencilla los riesgos inherentes versus los riesgos residuales.
Genere mapas de calor con T-RISK, los mismos son incluidos automáticamente en los informes ejecutivos de Análisis de Riesgo para exportar o imprimir.

Las gráficas ejecutivas le permiten presentar ante la Alta Gerencia el avance de los análisis de riesgo de seguridad de la información realizados sobre los procesos de negocio y los resultados obtenidos como riesgo residual.

“La gestión de riesgos es el corazón de la seguridad de la información”
Israel Rosales Director General en TRILABS S.R.L..
ACERCA DE TRILABS SRL
TRILABS S.R.L. es una empresa legalmente constituida en Bolivia con registro en FUNDEMPRESA Nro. 00370376, con NIT 337890022 y Licencia de Funcionamiento Nro.326873, con domicilio legal en la ciudad de Santa Cruz de la Sierra, facultada para realizar servicios de consultoría en ciberseguridad, pruebas de hacking ético, análisis de vulnerabilidades técnicas, entre otros servicios informáticos. Entre su portafolio de productos se encuentran: Software para Análisis de Impacto al Negocio (T-BIA), software para Análisis de Riesgos de Seguridad de la Información (T-RISK), software para Gestión de Incidentes de CiberSeguridad (T-GIC), software para Control de Pruebas de Recuperación de Desastre), entre otros de desarrollo propio. TRILABS es una empresa subsidiaria de COSIM-TI.