Aspectos clave sobre modelos de riesgos de seguridad de la información

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

Aspectos clave sobre modelos de riesgos de seguridad de la información

Aspectos clave sobre modelos de riesgos de seguridad de la información

Riesgos de seguridad de la información

Si estamos interesados en comenzar a controlar la ciberseguridad en nuestra organización, lo primero que debemos realizar es un análisis de riesgos de seguridad de la información. Este será uno de los trabajos más importantes a la hora de definir los proyectos e iniciativas para la mejora de la seguridad de la información.

Si consideramos que las herramientas tecnológicas y la información que manejamos son de gran valor para nuestra empresa debemos comenzar por poner en práctica un plan de riesgos de seguridad de la información, un Plan Director de Seguridad.

El Plan Director de Seguridad (PDS) se puede simplificar como la definición y priorización de un conjunto de proyectos en materia de seguridad de la información. Se encuentra dirigido a la reducción de los riesgos de seguridad de la información a los que se encuentran expuestos las organizaciones hasta unos niveles aceptables a partir de la realización de un análisis de atención de los riesgos que se encuentran asociados a los sistemas, los procesos y los elementos dentro del alcance del Plan Director de Seguridad. De esta forma se pueden mitigar la posibilidad de tener algún tipo de incidente de ciberseguridad. Por otro lado, también se pueden obtener beneficios si llevamos a cabo el análisis de riesgos de forma aislada en lugar de realizarlo dentro de un contexto mayor.

Vamos a establecer, de forma sencilla, las principales tareas del análisis de riesgos, aportando recomendaciones prácticas sobre cómo realizarlo. Es necesario señalar que las etapas que componen un análisis de riesgos dependen de la metodología escogida. En el caso que nos ocupa, hemos seleccionado un conjunto de ases que son comunes en la mayor parte de las metodologías para realizar el análisis de riesgos.

Etapa 1. Definición del alcance

Los primero que debemos hacer a la hora de realizar un análisis de riesgos de seguridad de la información es establecer el alcance que tendrá el estudio. Debemos considerar que este análisis de riesgos forma parte del Plan Director de Seguridad. Por este motivo, se recomienda que el análisis de riesgos cubra la totalidad del alcance del PDS, donde se han seleccionado las áreas estratégicas sobre las que mejorar la seguridad. Por otro lado, también es necesario definir un alcance más limitado poniendo especial interés en los departamentos, los procesos de producción y gestión de almacén o análisis de riesgos sobre los sistemas TIC, etc.

Etapa 2. Identificar los activos

Una vez definido el alcance, tenemos que identificar los activos más importantes que guardan relación con el departamento, proceso o sistemas objetivo de estudio. Para mantener el inventario de activos se pueden utilizar herramientas tecnológicas como ISOTools, en la que podremos tener el inventario y relacionar los activos a los diferentes procesos en lo que se encuentren implicados, facilitando así la gestión de los riesgos de seguridad de la información.

Etapa 3. Identificar o seleccionar las amenazas

Una vez que se han identificado los principales activos, el siguiente paso será el de identificar las amenazas a las que estos se encuentran expuestos. Tal y como imaginamos, el conjunto de amenazas es muy amplio y diverso por lo que debemos realizar un esfuerzo mayor en mantener un enfoque práctico y aplicado.

Etapa 4. Identificación de las vulnerabilidades

Durante esta fase se deberá realizar un estudio de las características de nuestros activos con la que identificar los puntos débiles o vulnerables. Puede que una posible vulnerabilidad sea identificar un conjunto de ordenadores o servidores que tengan un sistema antivirus que no se encuentra actualizado o una serie de activos para los que no existe soporte ni mantenimiento por parte del fabricante. Después, a la hora de realizar la evaluación de los riesgos de seguridad de la información se deberán aplicar penalizaciones para reflejar las vulnerabilidades que han sido detectadas.

Por otro lado, debemos analizar y documentar las medidas de seguridad implementadas en nuestra empresa. Por ejemplo, contar con un equipo auxiliar que proporcione energía, en caso de que se produzca un desabastecimiento es una medida de seguridad que contribuye a reducir el riesgo de la amenaza que se encuentra relacionado con el corte de suministro eléctrico.

Todas estas consideraciones se tienen en cuenta cuando se vaya a estimar la probabilidad y el impacto.

Etapa 5. Evaluar el riesgo

Cuando hemos llegado a esta etapa, ya disponemos de los siguientes elementos:

  • Inventario de activos.
  • Identificadas las amenazas a las que se encuentra expuesto cada activo.
  • Conjunto de vulnerabilidades que se encuentran asociadas a cada activo.
  • Todas las medidas de seguridad que han sido implementadas.

Con esta información, nos encontramos en condiciones de calcular los riesgos de seguridad de la información. Para cada activo-amenaza, debemos estimar la probabilidad de que la amenaza se materialice y el impacto sobre el negocio que produciría. El cálculo del riesgo se puede llevar a cabo utilizando tanto criterios cuantitativos como cualitativos.

Etapa 5. Tratar el riesgo

Una vez ya tenemos calculado el riesgo, tenemos que tratar los riesgos que superen el límite que nosotros tengamos establecido. A la hora de tratar el riesgo, existen cuatro estrategias principales:

  • Transferir el riesgo a un tercero.
  • Eliminar el riesgo.
  • Asumir el riesgo de forma justificada.
  • Implementar medidas para mitigarlo.

En última instancia, es necesario señalar cómo realizamos este análisis de riesgos en el contexto de una PDS, las acciones e iniciativas para tratar los riesgos pasarán a formar parte del mismo. Por lo tanto, debemos clasificarlas y priorizarlas tendiendo en cuenta el resto de proyectos que forman parte del PDS. Además, tal y como hemos indicado anteriormente, realizar un análisis de riesgos de seguridad de la información nos ofrece información de gran importancia y contribuye en gran medida a mejorar la seguridad de nuestra empresa.

 

Diplomado de Seguridad de la Información ISO 27001

La información es uno de los activos más importantes de las organizaciones. Debemos proteger la información, pero también debemos ser conscientes de que es una tarea muy complicada cuando hablamos de la red. Por este motivo, debemos conocer todos los riesgos a los que nos enfrentamos y así, poder mitigarlos. En el Diplomado de Seguridad de la Información ISO 27001 aprenderá desde las bases de la norma hasta lo más específico.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…