análisis de Riesgo
El análisis de riesgo es un proceso sistemático
para estimar la magnitud de los riesgos a que
está expuesta una organización o
empresa.
Es la identificación de las amenazas que acechan
a los distintos componentes pertenecientes o
relacionados con un sistema de información
(activos) para determinar la
vulnerabilidad del
sistema ante esas amenazas y para estimar el
impacto o grado de perjuicio que una seguridad
insuficiente puede afectar a la organización.
acorde al punto 5.4 de Magerit (España) es
importante crear escenarios de ataque, imaginar
amenazas a los activos, pensar cómo un atacante
se enfrentaría a nuestros sistemas o activos.
Hay que ponerse en la piel del atacante e
imaginar qué haría con sus conocimientos y
recursos. Es importante plantear diferentes
situaciones dependiendo del perfil técnico del
atacante o de sus recursos técnicos y humanos.
Estos escenarios de ataque o dramatizaciones son
importantes para evaluar impactos y riesgos.
Consideraciones
Jamás olvide que en las empresas la seguridad
comienza por dentro. capacitando al
personal,creando normas basadas en standards,
analizando brechas y puntos ciegos en la
seguridad lógica y en la
seguridad de sistemas
de información.
Es fundamental la creación de escenarios de
conflicto en forma continua participando la
gerencia de la empresa junto con un auditor en
seguridad, a partir de estos escenarios pueden
lograrse medidas para evitar eventos de
seguridad.
anticiparse a los hechos
Imagínese el peor escenario posible. Piense cómo
evitarlo. Existen normas,
procedimientos,protocolos de seguridad
existentes que pueden ayudar a crear y basar
(valga la redundancia) sus procedimientos
internos para alejar la posibilidad de riesgo.
Si su empresa opera a través de
internet o
telecomunicaciones no olvide que es más probable
tener una fuga de información o problema interno
de seguridad con su personal a que un
hacker
intente vulnerar sus sistemas, el fraude interno
está a la orden del día.
Realice periódicamente perfiles socioeconómicos
de su personal, tenga entrevistas con cada uno
de sus empleados con una frecuencia trimestral
contando con apoyo de un profesional en
psicología laboral con experiencia previa y
capacitado en PNL (nunca está de más que en
estas entrevistas participe un
auditor en
seguridad, el auditor debe ser capaz de percibir
a un “insider”.)
El siguiente glosario es un compendio de
términos técnicos de auditoria en seguridad que
le permitirá comprender diversos informes y
graficar situaciones eventuales en que su
empresa podría verse comprometida.
GLOSaRIO
ataque :
Cualquier acción deliberada con el objetivo de
violar los mecanismos de seguridad de un sistema
de información.
auditoria de Seguridad:
Estudio y examen independiente de registros
históricos y actividades de un sistema de
información con el objetivo de comprobar la
solidez de los controles del sistema, alinear
los controles con la estructura de seguridad y
procedimientos operativos establecidos a fin de
detectar brechas en la seguridad y recomendar
modificaciones en los procedimientos, controles
y estructuras de seguridad.
autenticidad:
aseguramiento de la identidad u origen.
Certificación:
Confirmación del resultado de una evaluación y
de que los criterios de la evaluación utilizados
fueron correctamente aplicados.
Confidencialidad:
aseguramiento de que la información es accesible
sólo por aquellos autorizados a tener acceso.
Degradación:
Pérdida de valor de un activo como consecuencia
de la materialización de una amenaza .
Disponibilidad:
aseguramiento de que los usuarios autorizados
tienen acceso cuando lo requieran a la
información y a sus activos asociados.
Estado de riesgo:
caracterización de activos por riesgo residual.
“Lo que puede pasar tomando en consideración que
las salvaguardas han sido desplegadas”.
Evento de seguridad:
Momento en que la amenaza existe y pone en
riesgo activos, procedimientos o información.
Evaluación de Medidas de Seguridad:
Evaluación de las medidas de seguridad
existentes con relación al riesgo que enfrentan.
Frecuencia:
Tasa de ocurrencia de una amenaza
Gestión de riesgos:
Selección de implementación de medidas de
seguridad para conocer, prevenir, impedir,
reducir o controlar los riesgos identificados.
La gestión de riesgos se basa en resultados
obtenidos en el análisis de riesgos.
Impacto:
Consecuencia que sobre un activo tiene la
materialización de una amenaza.
Impacto residual:
Impacto remanente en el sistema tras la
implantación de las medidas de seguridad
determinadas en el plan de seguridad de la
información.
Insider:
Empleado desleal quien por motivos de
desinterés, falta de capacidad intelectual y/o
analítica,problemas psicológicos o
psiquiátricos, corrupción, colusión u otros
provoca daños en forma deliberada en la empresa
en que trabaja, incumpliendo concientemente con
normas y procedimientos establecidos, robando o
hurtando activos (físicos o información) con
objetivos económicos o simplemente de daño
deliberado.
Integridad:
Garantía de la exactitud y completitud de la
información y los métodos de su procesamiento.
Mapa de riesgos:
Relación de las amenazas a que están expuestos
los activos.
Plan de seguridad:
Conjunto de programas de seguridad que permiten
materializar las decisiones de gestión de
riesgos.
Programa de seguridad:
Conjunto de tareas orientadas a afrontar el
riesgo del sistema. Esta agrupación se debe a
que en singular las tareas carecerían de
eficacia ya que todas tienen un objetivo común y
porque competen a una única unidad de acción.
Proyecto de seguridad Programa de seguridad cuya
envergadura es tal que requiere una
planificación específica.
Riesgo:
Estimación del grado de exposición a que una
amenaza se materialice sobre uno o más activos
causando daños y / o perjuicios a la
Organización.
Riesgo acumulado:
Toma en consideración el valor propio de un
activo y el valor de los activos que dependen de
él. Este valor se combina con la degradación
causada por una amenaza y la frecuencia estimada
de la misma.
Riesgo repercutido:
Se calcula tomando el valor propio de un activo
y combinándolo con la degradación causa por una
amenaza y la frecuencia estimada de la misma.
Medida de seguridad:
Procedimiento o mecanismo tecnológico que reduce
el riesgo.
Seguridad:
capacidad de las redes o de los sistemas de
información de resistir, con un determinado
nivel de confianza, los accidentes o acciones
ilícitas o malintencionadas que comprometan la
disponibilidad, autenticidad, integridad y
confidencialidad de los datos almacenados o
transmitidos y de los servicios que dichas redes
y sistemas ofrecen o hacen accesibles.
Sistema de información:
Computadoras y redes de comunicaciones
electrónicas, datos electrónicos
almacenados,procesados, recuperados o
transmitidos por los mismos para su operación,
uso, protección y mantenimiento.
Conjunto de elementos físicos, lógicos,
elementos de comunicación, datos y personal que
permiten el almacenamiento, transmisión y
proceso de la información.
Trazabilidad:
aseguramiento de que en todo momento se podrá
determinar quien hizo qué y en qué momento.
Valor:
De un activo: Es una estimación del costo
inducido por la materialización de una amenaza.
acumulado: Considera tanto el valor propio de un
activo como el valor de los activos que dependen
de él.
Vulnerabilidad: Cálculo o estimación de la exposición efectiva
de un activo a una amenaza. Se determina por dos
medidas: frecuencia de ocurrencia y degradación
causada.