Scribd
Cargar
34 vistas15 páginas

Análisis de Riesgo en Seguridad Informática

El análisis de riesgo en seguridad consta de 6 fases: definir el alcance, identificar activos, identificar amenazas, identificar vulnerabilidades y salvaguardas, evaluar el riesgo y tratar el riesgo. El objetivo es conocer las vulnerabilidades de los activos de información de una organización y gestionar los riesgos de manera adecuada.

Cargado por

Martin Ubillus
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd
34 vistas15 páginas

Análisis de Riesgo en Seguridad Informática

El análisis de riesgo en seguridad consta de 6 fases: definir el alcance, identificar activos, identificar amenazas, identificar vulnerabilidades y salvaguardas, evaluar el riesgo y tratar el riesgo. El objetivo es conocer las vulnerabilidades de los activos de información de una organización y gestionar los riesgos de manera adecuada.

Cargado por

Martin Ubillus
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd

ANÁLISIS DE RIESGO EN

SEGURIDAD

FASES BÁSICAS
TABLA DE CONTENIDO

FASE 01. Definir el FASE 02. Identificar los


alcance activos

FASE 03. Identificar FASE 04. Identificar FASE 05. Evaluar el FASE 06. Tratar el
amenazas vulnerabilidades y riesgo riesgo
salvaguardas

2
CRITICIDAD DEL RIESGO
El Análisis de Criticidad y Riesgo es una metodología que busca ubicar en diferentes zonas el riesgo
que un activo le pudiera generar a la organización donde forma parte . Riesgo es una expresión que
relaciona dos variables: Ocurrencia expresadas en probabilidades y Gravedad o Consecuencias.

1. Riesgo aceptable

2. Riesgo residual

Conclusión

3
 El análisis de riesgo en seguridad es uno de los trabajos más
importantes a la hora de definir proyectos e iniciativas para la mejora de
la seguridad de la información.

 Una amenaza se puede definir como cualquier evento que puede afectar
los activos de información y se relaciona, principalmente, con recursos
humanos, eventos naturales o fallas técnicas. Algunos ejemplos pueden
ser: ataques informáticos externos, infecciones con malware, una
inundación, un incendio o cortes de fluido eléctrico.

 Pero en ocasiones basta una omisión o despiste por parte del personal
de la empresa, como el uso de una simple pulsera imantada, para que
se pueda llegar a producir un daño grave, e incluso irreparable, de la
información.

 En definitiva, el análisis de riesgo en seguridad trata de elaborar una


adecuada gestión de riesgos que permita a las organizaciones conocer
cuáles son las principales vulnerabilidades de sus activos de
información.
4
Fase 1. Definir el alcance
Lo primero que debemos hacer a la hora de llevar a
cabo el análisis de riesgo en seguridad es establecer el
alcance del estudio. Es posible definir un alcance más
limitado atendiendo a departamentos, procesos o
sistemas.

Por ejemplo, análisis de riesgos sobre los procesos del


departamento Administración, análisis de riesgos sobre
los procesos de producción y gestión de almacén o
análisis de riesgos sobre los sistemas TIC relacionados
con la página web de la empresa, etc.

5
Fase 2. Identificar los activos
Una vez definido el alcance en el análisis de riesgo en
seguridad, debemos identificar los activos más importantes
que guardan relación con el departamento, proceso, o sistema
objeto del estudio. Para mantener un inventario de activos
sencillo puede ser suficiente con hacer uso de una hoja de
cálculo o tabla.

6
Fase 3. Identificar / seleccionar las


amenazas

Habiendo identificado los principales activos, el


siguiente paso consiste en identificar las amenazas a
las que estos están expuestos. Tal y como imaginamos,
el conjunto de amenazas es amplio y diverso por lo
que debemos hacer un esfuerzo en mantener un
enfoque práctico y aplicado.

Por ejemplo, si nuestra intención es evaluar el riesgo


que corremos frente a la destrucción de nuestro
servidor de ficheros, es conveniente considerar las
averías del servidor, la posibilidad de daños por agua
(rotura de una cañería) o los daños por fuego.
Fase 4. Identificar vulnerabilidades y
salvaguardas
En esta fase el análisis de riesgo en seguridad consiste en estudiar
las características de nuestros activos para identificar puntos
débiles o vulnerabilidades.

Por ejemplo, una posible vulnerabilidad puede ser identificar un


conjunto de ordenadores o servidores cuyos sistemas antivirus no
están actualizados o una serie de activos para los que no existe
soporte ni mantenimiento por parte del fabricante. Posteriormente,
a la hora de evaluar el riesgo aplicaremos penalizaciones para
reflejar las vulnerabilidades identificadas.

Por otra parte, también analizaremos y documentaremos las


medidas de seguridad implantadas en nuestra organización.

Estas consideraciones (vulnerabilidades y salvaguardas) debemos


tenerlas en cuenta cuando vayamos a estimar la probabilidad y el
impacto, como veremos en la siguiente fase del análisis de riesgo
en seguridad.
Fase 5. Evaluar el riesgo
Llegado a este punto del análisis de riesgo en seguridad,
podemos proponer y recomendar los siguientes elementos:

Inventario de activos.
Conjunto de amenazas a las que está expuesta cada activo.
Conjunto de vulnerabilidades asociadas a cada activo (si
corresponde).
Conjunto de medidas de seguridad implantadas.
Con esta información, nos encontramos en condiciones de
calcular el riesgo. Para cada par activo-amenaza, estimaremos
la probabilidad de que la amenaza se materialice y el impacto
sobre el negocio que esto produciría. El cálculo de riesgo se
puede realizar usando tanto criterios cuantitativos como
cualitativos.
9
Fase 6. Tratar el riesgo
Una vez calculado el riesgo, debemos tratar aquellos riesgos que
superen un límite que nosotros mismos hayamos establecido.
Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro
que cubra los daños a terceros ocasionados por fugas de información.
Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que
está sujeto a un riesgo elevado. En el caso práctico que hemos
expuesto, podríamos eliminar la wifi de cortesía para dar servicio a
los clientes si no es estrictamente necesario.
Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de
instalar un grupo electrógeno puede ser demasiado alto y, por tanto,
la organización puede optar por asumir.
Implantar medidas para mitigarlo. Por ejemplo, contratando un
acceso a internet de respaldo para poder acceder a los servicios en la
nube en caso de que la línea principal haya caído.
10
Criticidad del riesgo

Además de lo expuesto anteriormente, en el análisis de riesgo en seguridad se deben evaluar las


consecuencias potenciales para poder evaluar su criticidad: riesgo aceptable y riesgo residual.

11
1. Riesgo aceptable
No se trata de eliminar totalmente el
riesgo, ya que muchas veces no es
posible ni tampoco resultaría rentable,
sino de reducir su posibilidad de
ocurrencia y minimizar las
consecuencias a unos niveles que la
organización pueda asumir, sin que
suponga un perjuicio demasiado grave a
todos los niveles: económico, logístico,
de imagen, de credibilidad, etc.
12
2. Riesgo residual

Se trata del riesgo que permanece y


subsiste después de haber implementado
los debidos controles, es decir, una vez
que la organización haya desarrollado
completamente un SGSI. Es un reflejo de
las posibilidades de que ocurra un
incidente, pese a verse implantado con
eficacia las medidas evaluadoras y
correctoras para mitigar el riesgo
inherente.
Conclusión
Llevar a cabo un análisis de riesgo en seguridad nos
proporciona información de gran valor y contribuye
en gran medida a mejorar la seguridad de nuestra
organización. Dada esta situación, animamos a
nuestros lectores a siempre optar por dejar dicho
análisis en manos de profesionales, para garantizar
la obtención de los mejores resultados posibles.

También podría gustarte