Scribd
Cargar
136 vistas3 páginas

Análisis de Riesgos de TI: Guía Completa

El documento describe el análisis de riesgos de TI como una herramienta para identificar los principales riesgos a los que están expuestos los sistemas de información de una organización. El análisis involucra identificar activos críticos, evaluarlos, identificar amenazas, evaluar riesgos inherentes y residuales, y desarrollar un plan para gestionar los riesgos identificados.

Cargado por

Ariel Walker
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
136 vistas3 páginas

Análisis de Riesgos de TI: Guía Completa

El documento describe el análisis de riesgos de TI como una herramienta para identificar los principales riesgos a los que están expuestos los sistemas de información de una organización. El análisis involucra identificar activos críticos, evaluarlos, identificar amenazas, evaluar riesgos inherentes y residuales, y desarrollar un plan para gestionar los riesgos identificados.

Cargado por

Ariel Walker
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Análisis de Riesgos de TI (https://www.incibe.

es/)

En la actualidad nuestras organizaciones tienen una gran dependencia de sus sistemas de


información. Proteger estos sistemas implica que destinemos una serie de recursos para
implantar las medidas de seguridad adecuadas. La mejor manera de destinar estos recursos de
un modo adecuado es identificar los principales riesgos a los que están expuestos nuestros
sistemas de información. ¿Cómo? A través de un análisis de riesgos.
Podemos entender el análisis de riesgos como un estudio que deberemos hacer nosotros
mismos o un tercero, con el fin de identificar los activos críticos de los sistemas de información
que dan soporte a los procesos de negocio de nuestra organización y las amenazas que puede
comprometer su disponibilidad, integridad o confidencialidad.
De este modo realizar una análisis de riesgos requiere llevar a cabo una serie de etapas que
nos permitan obtener una imagen rigurosa de los riesgos a los que se encuentra expuesta
nuestra organización. Estas etapas quedan descritas a continuación:

1. Identificación de activos: En esta etapa se identifican los recursos del sistema de


información que son necesarios para que los procesos de negocio de nuestra
organización funcionen correctamente. Dentro de estos activos podemos encontrar
servidores, aplicaciones, proveedores, personal, instalaciones, etc.
2. Evaluación de activos: En esta etapa deberemos otorgar un valor cualitativo o
cuantitativo a los activos o a los procesos de negocio (si previamente hemos establecido
relaciones entre ellos). Esta valoración puede realizarse teniendo en cuenta aspectos
como la disponibilidad, la confidencialidad o la integridad. Preguntas como ¿Cuál es la
importancia de que este servidor esté funcionando? o ¿Cómo de importante es
mantener la confidencialidad de determinada información?
3. Identificación de amenazas: En esta etapa deberemos identificar que amenazas
pueden comprometer nuestros activos. Amenazas como avería de origen físico, fugas
de información, incendio o robo de equipos serviría como ejemplos de amenazas.
4. Evaluación de amenazas: En esta etapa se deberán identificar la probabilidad y el
impacto de que una amenaza afecte a un activo. Sirva de ejemplo la probabilidad de
avería física de un servidor podría ser de 1 vez al año, causando un impacto total a la
disponibilidad del servidor. Evaluadas las amenazas obtendremos el riesgo intrínseco
existente en nuestros sistemas de información, es decir el riesgo al que estamos
expuestos sin tener en cuenta las medidas de seguridad existentes.
5. Identificación de medidas de seguridad existentes: Para obtener el riesgo real
deberemos tener en cuenta las medidas de seguridad que ya existen en nuestra
organización. Estas medidas disminuirán la probabilidad o el impacto de determinadas
amenazas, lo que redundará en un riesgo menor.
6. Evaluación de riesgos: Tras evaluar identificar las medidas de seguridad, obtendremos
los riesgos reales a los que en el momento del análisis de riesgos estamos expuestos.
Es lo que se conoce como riesgo residual.

El análisis de riesgos es importante porque nos permite identificar los principales riesgos
existentes en nuestra organización. Una vez los hayamos identificado y analizado debemos
centrarnos en la gestión de esos riesgos y para ello, es imprescindible definir el umbral que
determinará qué riesgos los consideramos asumibles y cuáles no. Es lo que se conoce como
apetito por el riesgo. A partir de aquí deberemos definir un plan de tratamiento de riesgos que
recoja qué acciones vamos a realizar para controlar estos riesgos identificados durante el
análisis.
¿Sabes que es una «ciberamenaza»?, y ¿una vulnerabilidad? ¿Sabes cuales pueden suponer
un riesgo para tu negocio? ¿Sabes cómo puede afectar un incidente a tu empresa? ¿Está tu
empresa en riesgo?
La diferencia entre vulnerabilidad y amenaza es muy interesante, aunque son términos que se
confunden a menudo. Veamos cómo se definen:

 Una vulnerabilidad (en términos de informática) es una debilidad o fallo en un sistema


de información que pone en riesgo la seguridad de la información pudiendo permitir que
un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la
misma, por lo que es necesario encontrarlas y eliminarlas lo antes posible. Estos
«agujeros» pueden tener distintos orígenes por ejemplo: fallos de diseño, errores de
configuración o carencias de procedimientos.
 Por su parte, una amenaza es toda acción que aprovecha una vulnerabilidad para
atentar contra la seguridad de un sistema de información. Es decir, que podría tener un
potencial efecto negativo sobre algún elemento de nuestros sistemas. Las amenazas
pueden proceder de ataques (fraude, robo, virus), sucesos físicos (incendios,
inundaciones) o negligencia y decisiones institucionales (mal manejo de contraseñas,
no usar cifrado). Desde el punto de vista de una organización pueden ser tanto internas
como externas.

Por tanto, las vulnerabilidades son las condiciones y características propias de los sistemas de
una organización que la hacen susceptible a las amenazas. El problema es que en el mundo
real, si existe una vulnerabilidad, siempre existirá alguien que intentará explotarla, es decir,
sacar provecho de su existencia.
Una vez que tenemos clara la diferencia entre amenaza y vulnerabilidad, es interesante
introducir el concepto de riesgo. El riesgo es la probabilidad de que se produzca un incidente
de seguridad, materializándose una amenaza y causando pérdidas o daños. Se mide
asumiendo que existe una cierta vulnerabilidad frente a una determinada amenaza, como puede
ser un hacker, un ataque de denegación de servicios, un virus… El riesgo depende entonces
de los siguientes factores: la probabilidad de que la amenaza se materialice aprovechando una
vulnerabilidad y produciendo un daño o impacto. El producto de estos factores representa el
riesgo.

Algunas de las fuentes de amenazas más comunes en el


ámbito de sistemas de información son:

 Malware o código malicioso: permite realizar diferentes


acciones a un atacante. Desde ataques genéricos mediante la
utilización de troyanos, a ataques de precisión dirigidos, con
objetivos específicos y diseñados para atacar a un
dispositivos, configuración o componente específico de la red.
 Ingeniería social: Utilizan técnicas de persuasión que
aprovechan la buena voluntad y falta de precaución de la
víctima para obtener información sensible o confidencial. Los datos así obtenidos son
utilizados posteriormente para realizar otro tipo de ataques, o para su venta.
 APT o Amenazas Persistentes Avanzadas (Advanced Persistent Threats): son ataques
coordinados dirigidos contra una empresa u organización, que tratan de robar o filtrar
información sin ser identificados. Se suelen ayudar de técnicas de ingeniería social y
son difíciles de detectar.
 Botnets: conjunto de equipos infectados que ejecutan programas de manera automática
y autónoma, que permite al creador del botnet controlar los equipos infectados y
utilizarlos para ataques más sofisticados como ataques DDoS.
 Redes sociales: el uso no controlado de este tipo de redes puede poner en riesgo
la reputación de la empresa.
 Servicios en la nube: una empresa que contrate este tipo de servicios tiene que tener
en cuenta que ha de exigir los mismos criterios de seguridad que tiene en sus sistemas
a su proveedor de servicios. Se ha de asegurar de contratarlos con empresas cuya
seguridad este demostrada, y firmar SLA o ANS (Acuerdos de Nivel de Servicio) en los
que quede definida la seguridad que necesita la empresa.

Algunos incidentes pueden implicar problemas legales que pueden suponer sanciones
económicas y daños a la reputación e imagen de la empresa. Por eso, es importante conocer
los riesgos, medirlos y evaluarlos para evitar en la medida de lo posible los incidentes,
implantando las medidas de seguridad adecuadas.
Podemos identificar los activos críticos de los sistemas de información que pueden suponer un
riesgo para la empresa, realizando un análisis de riesgos. Análisis que nos llevará a obtener
una imagen rigurosa de los riesgos a los que se encuentra expuesta nuestra empresa.
Estas fases son las siguientes:

Este análisis nos servirá para averiguar la magnitud y la gravedad de las consecuencias del
riesgo a la que está expuesta nuestra empresa y, de esta forma, gestionarlos adecuadamente.
Para ello tendremos que definir un umbral que determine los riesgos asumibles de los que no
lo son. En función de la relevancia de los riegos podremos optar por:

 Evitar el riesgo eliminando su causa, por ejemplo, cuando sea viable optar por no
implementar una actividad o proceso que pudiera implicar un riesgo.
 Adoptar medidas que mitiguen el impacto o la probabilidad del riesgo a través de
la implementación y monitorización de controles.
 Compartir o transferir el riesgo con terceros a través de seguros, contratos etc.
 Aceptar la existencia del riesgo y monitorizarlo.

El tratamiento del riesgo supone unos claros beneficios para la «salud» de la ciberseguridad de
nuestra empresa. De esta manera mantendremos protegida nuestra información confidencial y
la de nuestros clientes frente a la mayoría de amenazas y vulnerabilidades detectadas (o no),
evitando robos y fugas de información. ¡Protege tu empresa!

También podría gustarte