Análisis de riesgo informático

Análisis de riesgo informático

Análisis de riesgo informático

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles.

Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

Contenido

Introducción

Los riesgos de seguridad de información deben ser considerados en el contexto del negocio, y las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo, producción, operaciones, administración, TI, finanzas, etcétera y los clientes deben ser identificados para lograr una imagen global y completa de estos riesgos.

Análisis de Riesgos Informáticos

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo total es: RT (Riesgo Total) = Probabilidad x Impacto Promedio A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el Riesgo Residual.

Como se describe en el BS ISO / IEC 27001:2005, la evaluación del riesgo incluye las siguientes acciones y actividades.

  • Identificación de los activos
  • Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos
  • Valoración de los activos identificados
  • Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.
  • Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.
  • Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
  • Cálculo del riesgo.
  • Evaluación de los riesgos frente a una escala de riesgo preestablecidos '

Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:

  • Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
  • Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo.
  • Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.
  • Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.

Consideraciones

No se olvide que en las empresas la seguridad comienza por dentro. Capacitando al personal, creando normas basadas en estándares, analizando brechas y puntos ciegos en la seguridad lógica y en la seguridad de sistemas de información.

Es fundamental la creación de escenarios de conflicto en forma continua participando la gerencia de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden lograrse medidas para evitar eventos de seguridad.

Anticiparse a los hechos

Imagínese el peor escenario posible. Piense cómo evitarlo. Existen normas, procedimientos, protocolos de seguridad existentes que pueden ayudar a crear y basar (valga la redundancia) sus procedimientos internos para alejar la posibilidad de riesgo. Si su empresa opera a través de internet o telecomunicaciones no olvide que es más probable tener una fuga de información o problema interno de seguridad con su personal a que un hacker intente vulnerar sus sistemas, el fraude interno está a la orden del día.

Realice periódicamente perfiles socioeconómicos de su personal, tenga entrevistas con cada uno de sus empleados con una frecuencia trimestral contando con apoyo de un profesional en psicología laboral con experiencia previa y capacitado en PNL (nunca está de más que en estas entrevistas participe un auditor en seguridad, el auditor debe ser capaz de percibir a un “insider” (Empleado desleal quien por motivos de desinterés, falta de capacidad intelectual y/o analítica, problemas psicológicos o psiquiátricos, corrupción, colusión u otros provoca daños en forma deliberada en la empresa en que trabaja).


Elementos relacionados

  • Activo. Es un objeto o recurso de valor empleado en una empresa u organización
  • Amenaza. Es un evento que puede causar un incidente de seguridad en una empresa u organización produciendo pérdidas o daños potenciales en sus activos.
  • Vulnerabilidad. Es una debilidad que puede ser explotada con la materialización de una o varias amenazas a un activo.
  • Riesgo. Es la probabilidad de ocurrencia de un evento que puede ocasionar un daño potencial a servicios, recursos o sistemas de una empresa.
  • Análisis. Examinar o descomponer un todo detallando cada uno de los elementos que lo forman a fin de terminar la relación entre sus principios y elementos.
  • Control. Es un mecanismo de seguridad de prevención y corrección empleado para disminuir las vulnerabilidades

Proceso de Administración de Riesgo

Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:

  • Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
  • Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo.
  • Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.
  • Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.

Elementos relacionados

  • Activo. Es un objeto o recurso de valor empleado en una empresa u organización
  • Amenaza. Es un evento que puede causar un incidente de seguridad en una empresa u organización produciendo pérdidas o daños potenciales en sus activos.
  • Vulnerabilidad. Es una debilidad que puede ser explotada con la materialización de una o varias amenazas a un activo.
  • Riesgo. Es la probabilidad de ocurrencia de un evento que puede ocasionar un daño potencial a servicios, recursos o sistemas de una empresa.
  • Análisis. Examinar o descomponer un todo detallando cada uno de los elementos que lo forman a fin de terminar la relación entre sus principios y elementos.
  • Control. Es un mecanismo de seguridad de prevención y corrección empleado para disminuir las vulnerabilidades

Proceso de Administración de Riesgo

Este proceso administración de riesgo es un proceso continuo dado que es necesario evaluar periódicamente si los riesgos encontrados y si estos tienen una afectación, hay que hacer calculo en las diferentes etapas del riesgo. La mecánica que se ve inversa el mayor número de las organizaciones hoy en día es en el esfuerzo del día a día. Es por eso realizar análisis de riesgo del proyecto referido al proyecto y el impacto futuro en la estructura de riesgo de la organización.

Herramientas de apoyo

Exiten varias herramientas en el mercado con las que se puede uno apoyar a la hora de evaluar los riesgos, principalmente en el proceso de evaluación de los mismos. Una vez terminado este proceso se debe documentar toda la información recabada para su análisis posterior. La herramienta que debemos seleccionar debe contener al menos un módulo de recolección de datos, de análisis de los mismos y otro de reportes. La importancia de un buen análisis y una buena presentación de los datos analizados nos llevará a una efectiva interpretación de la situación actual de los riesgos y por ende, la selección de los controles que debemos implementar será la mas acertada en el proceso de selección, ahorrando costos en productos y costos de operación ademas del ahorro de tiempo.

Regulaciones y Normas que tratan el riesgo

Comunicación “A” 4609 del BCRA para entidades Financieras • Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática y sistemas de información.

ISO/IEC 27001 • Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)

ISO/IEC 27005 • Esta Norma proporciona directrices para la Gestión del riesgo de Seguridad de la Información en una Organización. Sin embargo, esta Norma no proporciona ninguna metodología específica para el análisis y la gestión del riesgo de la seguridad de la información.

Basilea II • Estándar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos.

Ley Sarbanes Oxley (SOX) • Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros.

Metodologías de Análisis de Riesgos

Citicus One: software comercial de Citicus, implementa el método FIRM del Foro de Seguridad de la Información; CRAMM: “CCTA Risk Assessment and Management Methodology” fue originalmente desarrollado para uso del gobierno de UK pero ahora es propiedad de Siemens; ISO TR 13335: fue el precursor de la ISO/IEC 27005; MAGERIT “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información” está disponible tanto en español como en inglés. OCTAVE: “Operationally Critical Threat, Asset, and Vulnerability Evaluation” Metodología de Análisis y Gestión de Riesgos desarrollada por el CERT; NIST SP 800-39 “Gestión de Riesgos de los Sistemas de Información, una perspectiva organizacional”; NIST SP 800-30: Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información, es gratuito; Mehari: Método de Gestión y Análisis de Riesgos desarrollado por CLUSIF (Club de la Sécurité de l'Information Français); AS/NZS: Norma de Gestión de Riesgos publicada conjuntamente por Australia y Nueva Zelanda y ampliamente utilizada en todo el mundo.


Véase también

Referencias

Information security management systems (2006). Part 3: Guidelines for information security risk management

Obtenido de "An%C3%A1lisis de riesgo inform%C3%A1tico"

Wikimedia foundation. 2010.

Игры ⚽ Нужно решить контрольную?

Mira otros diccionarios:

  • Seguridad informática — Este artículo o sección necesita referencias que aparezcan en una publicación acreditada, como revistas especializadas, monografías, prensa diaria o páginas de Internet fidedignas. Puedes añadirlas así o avisar …   Wikipedia Español

  • Glosario de seguridad informática — Saltar a navegación, búsqueda # Termino Termino Definicion Referencia 1 Activo Físico Activo que se caracteriza por poseer un valor intrínseco y está constituido por maquinas, equipos, edificios, y otros bienes de inversión, así como por las… …   Wikipedia Español

  • Seguridad de la información — Este artículo o sección necesita ser wikificado con un formato acorde a las convenciones de estilo. Por favor, edítalo para que las cumpla. Mientras tanto, no elimines este aviso. También puedes ayudar wikificando otros artículos o cambiando este …   Wikipedia Español

  • Auditoría informática — Saltar a navegación, búsqueda La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo… …   Wikipedia Español

  • Etnografía — Saltar a navegación, búsqueda La etnografía (del griego, ethnos εθνος, tribu, pueblo y grapho γραφω, yo escribo ; literalmente descripción de los pueblos ) es un método de investigación de la Antropología Social o Cultural (una de las ramas de la …   Wikipedia Español

  • Anexo:Episodios de Star Trek: La nueva generación — Artículo principal: Star Trek: La nueva generación Esta es una lista de episodios de la serie de ciencia ficción Star Trek: La nueva generación. Esta serie llegó a su fin el 23 de mayo del 1994, contando con un total de 178 episodios distribuidos …   Wikipedia Español

  • Proyecto Libro Azul — Saltar a navegación, búsqueda El Proyecto Libro Azul fue una serie de estudios sobre ovnis por parte de la Fuerza Aérea de los Estados Unidos (USAF). Fue el segundo renacimiento de este tipo de estudio, comenzado en 1952, y estuvo activo hasta… …   Wikipedia Español

  • Minería de datos — La minería de datos (DM, Data Mining) consiste en la extracción no trivial de información que reside de manera implícita en los datos. Dicha información era previamente desconocida y podrá resultar útil para algún proceso. En otras palabras, la… …   Wikipedia Español

  • Subcontratación — Este artículo o sección necesita referencias que aparezcan en una publicación acreditada, como revistas especializadas, monografías, prensa diaria o páginas de Internet fidedignas. Puedes añadirlas así o avisar …   Wikipedia Español

  • Agujero de seguridad — Un agujero de seguridad es un fallo en un programa que permite mediante su explotación violar la seguridad de un sistema informático. Esto también se ha comenzado a aplicar a los servicios web, tales como páginas web, correo, IRC, MSN, chat, etc …   Wikipedia Español

Compartir el artículo y extractos

Link directo
Do a right-click on the link above
and select “Copy Link”