5.4- Analisis de Riesgo

Riesgo

Es la probabilidad de que las amenazas exploten los puntos débiles, causando pérdidas o daños a los activos e impactos al negocio, es decir, afectando: La confidencialidad, la integridad y la disponibilidad de la información.

Concluimos que la seguridad es una práctica orientada hacia la eliminación de las vulnerabilidades para evitar o reducir la posibilidad que las potenciales amenazas se concreten en el ambiente que se quiere proteger. El principal objetivo es garantizar el éxito de la comunicación segura, con información disponible, íntegra y confidencial, a través de medidas de seguridad que puedan tornar factible el negocio de un individuo o empresa con el menor riesgo posible.

Peligro

Agente potencialmente perjudicial, que puede causar lesiones, daños materiales, interrupción de la actividad social y económica, degradación ambiental, incluso hasta la muerte.

 Medidas de seguridad
Las medidas de seguridad son acciones orientadas hacia la eliminación de vulnerabilidades, teniendo en mira evitar que una amenaza se vuelva realidad. Estas medidas son el paso inicial para el aumento de la seguridad de la información en un ambiente de tecnología de la información y deberán considerar el todo.
Existen  medidas de seguridad específicas para el tratamiento de cada variedad de clases de puntos débiles.
Antes de la definición de las medidas de seguridad a ser adoptadas, se deberá conocer el ambiente en sus mínimos detalles, buscando los puntos débiles existentes.
A partir de este conocimiento, se toman las medidas o acciones de seguridad que pueden ser de índole:

  • Preventivo: buscando evitar el surgimiento de nuevos puntos débiles y amenazas;
  • Perceptivo: orientado hacia la revelación de actos que pongan en riesgo  la información
  • Correctivo: orientado hacia la corrección de los problemas de seguridad conforme su ocurrencia.

Análisis de Riesgos

Es una medida que busca rastrear vulnerabilidades en los activos que puedan ser explotados por amenazas. El análisis de riesgos tiene como resultado un grupo de recomendaciones para la corrección de los activos para que los mismos puedan ser protegidos.

Es un paso importante para implementar la seguridad de la información. Como su propio nombre lo indica, es realizado para detectar los riesgos a los cuales están sometidos los activos de una organización, es decir, para saber cuál es la probabilidad de que las amenazas se concreten.
Las amenazas se pueden convertir en realidad a través de fallas de seguridad, que conocemos como vulnerabilidades y que deben ser eliminadas al máximo para que el ambiente que se desea proteger esté libre de riesgos de incidentes de seguridad.
Por lo tanto, la relación entre amenaza-hecho-impacto, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.
Esquema de la relación: amenaza-incidente-impacto

Actividad centrada en la identificación de fallas de seguridad que evidencien vulnerabilidades que puedan ser explotadas por amenazas, provocando impactos en los negocios de la organización.
Actividad de análisis que pretende, a través del rastreo, identificar los riesgos a los cuales los activos se encuentran expuestos.
Resultados

  • Encontrar la consolidación de las vulnerabilidades para identificar los pasos a seguir para su corrección.
  • Identificar las amenazas que pueden explotar esas vulnerabilidades y de esta manera se puede llegar a su corrección o eliminación.
  • Identificar los impactos potenciales que pudieran tener los incidentes y de esta forma aprovechar las vulnerabilidades encontradas.
  • Determinar las recomendaciones para que las amenazas sean corregidas o reducidas.

Otro punto importante a considerar en la realización del análisis de riesgos es la relación costo-beneficio. Este cálculo permite que sean evaluadas las medidas de seguridad con relación a su aplicabilidad y el beneficio que se agregará al negocio.

Ámbitos del Análisis de Riesgos

El análisis de riesgos puede ser realizado en distintos ámbitos. Por lo general, todos son considerados, puesto que la implementación de seguridad pretende corregir el entorno en que se encuentra la información, es decir en actividades relacionadas a: generación tránsito, procesamiento, almacenamiento, etc.

Ámbito Descripción Aspectos por analizar
Tecnológico El análisis de riesgos realizado en el entorno tecnológico pretende el conocimiento de las configuraciones y de la disposición topológica de los activos de tecnología que componen toda la infraestructura de respaldo de la información para comunicación, procesamiento, tránsito y almacenamiento. Los activos son de tipo aplicación y equipo, sin dejar de considerar también la sensibilidad de las informaciones que son manipulados por ellos.
Los usuarios que los utilizan. La infraestructura que les ofrece respaldo.
Humano El análisis de riesgos también se destina a la comprensión de las maneras en que las personas se relacionan con los activos. Así, es posible detectar cuáles vulnerabilidades provenientes de acciones humanas, se encuentran sometidos los activos, y es posible dirigir recomendaciones para mejorar la seguridad en el trabajo humano y garantizar la continuidad de los negocios de la organización. Este análisis pretende inicialmente identificar vulnerabilidades en los activos de tipo usuario y organización.  El nivel de acceso que las personas tienen en la red o en las aplicaciones. Las restricciones y permisos que deben tener para realizar sus tareas con los activos. El nivel de capacitación y formación educativa que necesitan tener acceso para manipularlos, etc.
Procesos Análisis de los flujos de información de la organización y la manera en que la información transita de un área a otra, cómo son administrados los recursos en relación a la organización y manutención. De esta manera, será  posible identificar los eslabones entre las actividades y los insumos necesarios para su realización con el objetivo de identificar las vulnerabilidades que puedan afectar la confidencialidad, la disponibilidad y la integridad de la información y en consecuencia, del negocio de la organización.
En este ámbito, el activo de enfoque principal es del tipo usuario e información.
Identificar a las personas involucradas en el flujo de información, es posible evaluar la necesidad real de acceso que ellas tienen a los activos.
Evaluar el impacto proveniente del uso indebido de la información por personas no calificadas.
Físico El análisis físico de seguridad pretende identificar en la infraestructura física del ambiente en que los activos encuentran vulnerabilidades que puedan traer algún perjuicio a la información y a todos los demás activos. El enfoque principal de este ámbito de análisis son los activos de tipo organización, pues son los que proveen el soporte físico al entorno en que está siendo manipulada la información. Identificar posibles fallas en la localización física de los activos tecnológicos.
Evaluar el impacto de accesos indebidos a las áreas en donde se encuentran  activos tecnológicos. Evaluar el impacto de desastres ambientales en la infraestructura de tecnología de la empresa.
Anuncios

3 comentarios en “5.4- Analisis de Riesgo

  1. RSA, división de seguridad de EMC, presentó resultados entre la relación de la seguridad de la información y la innovación en los negocios. Revelando que el riesgo de la seguridad TI es un inhibidor significativo en la innovación.
    Las organizaciones creen que crear un entorno ideal para la innovación es crítico para estar por delante de la competencia. Sin embargo, los encuestados revelan que a pesar de sus mejores intenciones, el riesgo de la seguridad de la información está impidiendo la innovación de los negocios.
    Cualquier innovación en el negocio conlleva de forma inherente algún nivel de riesgo de la información, La seguridad debe moverse de solo mitigar el riesgo y maximizar las recompensas al negocio
    Recomendaciones para cambiar la forma de pensar y comportamiento de la organización:

    Mover el enfoque de “Seguridad de la Información” a “Gestión del Riesgo de la Información” para señalar que el objetivo es alcanzar un nivel de riesgo aceptable.

    Enfoque que involucre a toda la organización para entender y formalizar la tolerancia al riesgo.

    Construir un modelo de asunción de riesgo para delinear donde y en quien reside la responsabilidad de la toma de decisiones en cuanto al riesgo.

    Crear un proceso repetible paso a paso para hacer cálculos de riesgo/beneficio, asegurarando que se difunda y que se utilce

    Fuente: DiarioTI, 2008

¿Cuál es tu opinión? sobre el tema

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s