Metodología y análisis de gestión de riesgos

Actividades[pic 1]

Actividad: Elaboración del documento de metodología de análisis y gestión de riesgos de una organización

Imagina que eres el responsable de seguridad de la información de una compañía (CISO) y la dirección te ha encargado que elabores un Plan Director de Seguridad de la Información, una de las decisiones que debes tomar es la elección de una metodología de análisis y gestión de riesgos, que a partir de la aprobación del PDSI será de utilización obligatoria.

El resultado de la elección de la metodología más apropiada deber ser el documento «metodología de análisis y gestión de riesgo», en el que se describe y desarrolla la metodología elegida.

Para elaborar el documento debes estudiar las metodologías de análisis y gestión de riesgos existentes, escoger la más apropiada y adaptarla a las necesidades de la organización.

Metodología de análisis y gestión de riesgo

En la actualidad el preservar la seguridad de los sistemas informáticos es una de las prioridades de toda empresa, pues la información es uno de los activos más valiosos que esta posee, y para poder establecer medios de protección eficientes es indispensable la identificación, análisis y mitigación de riesgos, aprovechando las oportunidades y disminuyendo las amenazas lo cual nos permite alcanzar los objetivos de la empresa. Según Novoa (Alemán Novoa & Rodríguez Barrera, 2015), acorde a la norma ISO 31000:2009, se establecen los principios que se deben cumplir para que la gestión de riesgos sea eficaz, y las metodologías que cumplen estos principios aparecen en la norma ISO 27001, donde sugiere el uso de las metodologías: Octave, Magerit, Mehari, NIST SP 800:30, Coras, Cramm y Ebios.

Después del análisis de las diferentes metodologías se decidió adoptar la metodología Magerit (publicas, 2012), para aplicarla a las necesidades de la empresa, los objetivos principales de esta metodología son: el estudiar los riesgos a los que se enfrenta un sistema de información, y el recomendar medidas apropiadas para conocer, prevenir, y reducir estos riesgos. Magerit cuenta con la herramienta PILAR  (CN-CERT, 2019) que ayuda con la aplicación de esta metodología y con cada uno de los pasos de su implementación.

Para su implementación hacen falta 4 pasos:

1. Planificación
2. Análisis de riesgos
3. Gestión de riesgos
4. Selección de salvaguardas

[pic 2]

Planificación

En la etapa de planificación se toman en cuenta la identificación de los activos y las amenazas potenciales de los mismos, los activos serán la información que se maneja dentro de los sistemas de información, asi como los servicios que este presta, ademas de los datos que componen la información, las aplicaciones informaticas, el hardware que lo soporta, los medios de almacenamiento, el equipamiento auxiliar, las redes de comunicaciones, las instalaciones (edificio, inmobiliaria, fuentes de poder, refrigeración, etc), y por ultimo las personas que explotan y operan estos activos.

Análisis de Riesgos

Toda organización se encuentra expuesta a riesgos, pues no existe un entorno 100% seguro, por lo que es fundamental el determinar los activos mas significativos de la empresa, identificar las amenazas a las que se enfrentan, determinar cuáles son las medidas de seguridad a implementar y estimar el impacto que tendría si una de las amenazas se cumple.

Ademas de identificar los activos, es necesario analizar la dependencia entre estos, para asi poder realizar una valoración, otorgando un valor numerico dependiendo de la criticidad de los mismos en base a las dimensiones (disponibilidad, integridad, confidencialidad, autenticidad de los usuarios y trazabilidad de los servicios) de la información que estos afectan,

...