Analisis De Riesgos

ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff

CONCEPTOS BÁSICOS DE UN ANÁLISIS DE RIESGOS

En primer lugar conviene clarificar qué se entiende por riesgo. Dentro del contexto de un análisis de riesgos, es la estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente

Antes de saber qué es un análisis de riesgos y lo que conlleva es importante conocer qué son otro tipo de conceptos muy relacionados con los Análisis de Riesgos y la seguridad de la información. Estos son los más importantes:

Amenaza: Es la causa potencial de un daño a un activo.

Vulnerabilidad: Debilidad de un activo que puede ser aprovechada por una amenaza.

Impacto: Consecuencias de que la amenaza ocurra.

Riesgo intrínseco: Cálculo del daño probable a un activo si se encontrara desprotegido.

Salvaguarda: Medida técnica u organizativa que ayuda a paliar el riesgo.

Riesgo residual: Riesgo remanente tras la aplicación de salvaguardas.

El análisis de riesgos se define como la utilización sistemática de la información disponible, para identificar peligros y estimar los riesgos.

A la hora de diseñar un SGSI, es primordial ajustarse a las necesidades y los recursos de la organización para que se puedan cubrir las expectativas, llegando al nivel de seguridad requerido con los medios disponibles. Es relativamente sencillo calcular con cuantos recursos se cuenta (económicos, humanos, técnicos…) pero no es tan fácil saber a ciencia cierta cuáles son las necesidades de seguridad.

Es aquí donde se muestra imprescindible la realización de un análisis de riesgos. Hacerlo permite averiguar cuáles son los peligros a los que se enfrenta la organización y la importancia de cada uno de ellos. Con esta información ya será posible tomar decisiones bien fundamentadas acerca de qué medidas de seguridad deben implantarse.

Por tanto, un aspecto de gran importancia a la hora de realizar la implantación de un SGSI es tener en cuenta que la inversión en seguridad tiene que ser proporcional al riesgo.

La información es generada y tratada por el personal tanto interno como externo, mediante los equipos de tratamiento de la información existentes en la organización y está situada en las instalaciones, por lo hay que considerar todos los riesgos relacionados con estos aspectos.

REALIZACIÓN DEL ANÁLISIS DE RIESGOS

Preparación del análisis de riesgos

Para realizar un análisis de riesgos se parte del inventario de activos. Si es razonablemente reducido, puede decidirse hacer el análisis sobre todos los activos que contiene. Si el inventario es extenso, es recomendable escoger un grupo relevante y manejable de activos, bien los que tengan más valor, los que se consideren estratégicos o todos aquellos que se considere que se pueden analizar con los recursos disponibles. Se puede tomar cualquier criterio que se estime oportuno para poder abordar el análisis de riesgos en la confianza de que los resultados van a ser útiles.

Hay que tener en cuenta que la realización de un análisis de riesgos es un proceso laborioso. Para cada activo se van a valorar todas las amenazas que pueden afectarle, la vulnerabilidad cada una de las amenaza y el impacto que causaría la amenaza en caso de ocurrir. Con todos esos datos, se calcula el valor del riesgo para ese activo.

Independientemente de la metodología que se utilice, el análisis de riesgos debe ser objetivo y conseguir resultados repetibles en la medida de lo posible, por lo que deberían participar en él todas las áreas de la organización que estén dentro del alcance del SGSI. De esta manera quedarán plasmados varios puntos de vista y la subjetividad, que es inevitable, quedará reducida. Además contar con la colaboración de varias personas ayuda a promover el desarrollo del SGSI como una herramienta útil para toda la organización y no sólo para la dirección o el área que se encarga del proyecto. Se puede abordar el análisis de riesgos con varios enfoques dependiendo del grado de profundidad con el que se quiera o pueda realizar el análisis:

Enfoque de Mínimos: Se escoge un conjunto mínimo de activos y se hace un análisis conjunto, de manera que se emplean una cantidad mínima de recursos, consumiendo poco tiempo y por lo tanto tiene el coste es menor. Este enfoque tienen el inconveniente de que si se escoge un nivel básico de seguridad muy alto, puede requerir recursos excesivos al implantarlo para todos los activos y por el contrario, si es muy bajo, los activos con más riesgos pueden no quedar adecuadamente protegidos. Debido a la falta de detalle en el análisis, puede ser difícil actualizar los controles o añadir otros según vayan cambiando los activos y sistemas.

Enfoque informal: Con este enfoque, no se necesita formación especial para realizarlo ni necesita de tantos recursos de tiempo y personal como el análisis detallado. Las desventajas de este informe son que al no estar basado en métodos estructurados, puede suceder que se pasen por altos áreas de riesgos o amenazas importantes y al depender de las personas que lo realizan, el análisis puede resultar con cierto grado de subjetividad. Si no se argumenta bien la selección de controles, puede ser difícil justificar después el gasto en su implantación.

• Enfoque detallado: Con este enfoque se consigue una idea muy exacta y objetiva de los riesgos a los que se enfrenta la organización. Se puede decidir un nivel de seguridad apropiado para cada activo y de esa manera escoger los controles con precisión. Es el enfoque que más recursos necesita en tiempo, personal y dinero para llevarlo a cabo de una manera efectiva.

• Enfoque combinado: Con un enfoque de alto nivel al principio, permite determinar cuáles son los activos en los que habrá que invertir más antes de utilizar muchos recursos en el análisis. Por ello ahorra recursos al tratar antes y de manera más exhaustiva los riesgos más importantes mientras que al resto de los riesgos sólo se les aplica un nivel básico de seguridad, con lo que consigue un nivel de seguridad razonable en la organización con recursos ajustados. Es el enfoque más eficaz en cuanto a costes y a adaptabilidad a empresas con recursos limitados. Hay que tener en cuenta que si el análisis de alto nivel es erróneo puede que queden algunos activos críticos a los que no se realice un análisis detallado.

Identificar amenazas

Como ya se ha visto anteriormente, podríamos denominar amenaza a un evento o incidente provocado por una entidad natural, humana o artificial que, aprovechando una o varias vulnerabilidades de un activo, pone en peligro la confidencialidad, la integridad o la disponibilidad de ese activo. Dicho de otro modo, una amenaza explota la vulnerabilidad del activo.

Atendiendo a su origen, existen dos tipos de amenazas:

Externas: Son las causadas por alguien (hackers, proveedores, clientes, etc.) o algo que no pertenece a la organización. Ejemplos de amenazas de este tipo son los virus y las tormentas.

Internas: Estas amenazas son causadas por alguien que pertenece a la organización, por ejemplo errores de usuario o errores de configuración.

Las amenazas también pueden dividirse en dos grupos según la intencionalidad del ataque en deliberadas y accidentales:

Deliberadas: Cuando existe una intención de provocar un daño, por ejemplo un ataque de denegación de servicio o la ingeniería social.

Accidentales: Cuando no existe tal intención de perjudicar, por ejemplo averías o las derivadas de desastres naturales: terremotos, inundaciones, fuego, etc.

Para valorar las amenazas en su justa medida hay que tener en cuenta cual sería el impacto en caso de que ocurrieran y a cual o cuáles son los parámetros de seguridad que afectaría, si a la confidencialidad, la integridad o la disponibilidad.

Identificación de vulnerabilidades

Tal y como hemos comentado anteriormente, una vulnerabilidad es toda aquella circunstancia o característica de un activo que permite la materialización de ataques que comprometen la confidencialidad, integridad o disponibilidad del mismo. Por ejemplo, un equipo será vulnerable a los virus si no tiene un programa antivirus instalado.

Hay que identificar las debilidades en el entorno de la Organización y valorar cómo de vulnerable es el activo en una escala razonable (alto-medio-bajo, de 1 a 5, etc.).

Hay que tener en cuenta que la presencia de una vulnerabilidad por si misma no causa daño. Para que se produzca este daño debe existir una amenaza que pueda explotarla.

Algunos ejemplos de vulnerabilidades son:

La ausencia de copias de seguridad, que compromete la disponibilidad de los activos.

Tener usuarios sin formación adecuada, que compromete la confidencialidad, la integridad y la disponibilidad de los activos, ya que pueden filtrar información o cometer errores sin ser conscientes del fallo.

Ausencia de control de cambios, que compromete la integridad y la disponibilidad de los activos.

Ejecución del análisis

Con el equipo de trabajo asignado para ello y la metodología escogida, se llevará a cabo el análisis de riesgos. Los participantes tendrán que valorar las amenazas y las

...