El análisis de riesgos es una de las tareas más importantes a la hora de definir proyectos e iniciativas para la mejora de la seguridad de la información de una empresa. Dado que las herramientas tecnológicas y la información son valores esenciales en cualquier organización, conviene poner en práctica un Plan Director de Seguridad (PDS). Este plan permite identificar y priorizar proyectos en materia de seguridad de la información, a fin de reducir los riesgos y amenazas a los que está expuesta la organización hasta su completa anulación, o bien hasta que queden reducidos a un nivel que se considere aceptable. Para ello debe realizarse un completo análisis o evaluación de la situación inicial.
La evaluación de riesgos requiere, en primer lugar, identificar los riesgos para la información, determinando cuáles son los activos a proteger y las posibles amenazas y vulnerabilidades, así como plantear las medidas de protección.
¿Cuántos activos, amenazas y vulnerabilidades debemos tener en cuenta? Los que se consideren necesarios. Un activo o una amenaza no detectados o no evaluados a tiempo podrían acabar convirtiéndose en un punto débil del sistema que, tarde o temprano, podría ser atacado. La mejor opción es llevar a cabo un análisis profundo y después tomar medidas, priorizando en base al nivel de riesgo.
Existen diferentes metodologías para realizar la evaluación de riesgos, aunque en general todas plantean una serie de fases comunes:
|
|
|
IMPACTO |
|||
|
|
|
Bajo |
Medio |
Alto |
Crítico |
|
Probabilidad |
Bajo |
Bajo |
Bajo |
Medio |
Medio |
|
Medio |
Bajo |
Medio |
Alto |
Alto |
|
|
Alto |
Medio |
Alto |
Alto |
Crítico |
|
|
Crítico |
Medio |
Alto |
Crítico |
Crítico |
|
- Definición del alcance de la evaluación: Puede englobar todo el PDS de la empresa, es decir, toda la organización, o puede centrarse en áreas o departamentos concretos, en ciertos sistemas o procesos…
- Identificación de los activos: Hay que determinar los activos más importantes en relación con el alcance definido. Se entiende por activo todo aquello que posee un valor para la seguridad de la información de la organización: hardware, software, bases de datos, documentos, personal, etc.
- Identificación de las amenazas: Una vez identificados los principales activos, el siguiente paso es determinar las amenazas a las que podrían verse expuestos. Evidentemente, el número de amenazas puede ser muy amplio y diverso, por lo que conviene adoptar un enfoque realista y práctico del escenario. Por ejemplo, ante las posibles amenazas a un disco duro externo, es más conveniente considerar la posibilidad de daños por agua o fuego que la posibilidad de que sea destruido por un huracán. Para facilitar la identificación de amenazas es útil tomar como referencia los catálogos de amenazas que suelen incluirse en las metodologías.
- Identificación de vulnerabilidades y protecciones: Detectar cuáles son los puntos débiles o vulnerabilidades de los activos analizados (por ejemplo, el requisito de introducir credenciales para acceder a un equipo). Una vez detectadas, hay que determinar el riesgo que conlleva cada vulnerabilidad, y analizar y documentar las posibles medidas de seguridad que la organización ya haya previsto o implementado.
- Valoración del riesgo: Con toda la información recopilada ya se puede calcular el riesgo. Para cada par activo-amenaza, estimaremos la probabilidad de que la amenaza se produzca y el impacto que produciría sobre la organización. El cálculo del riesgo se puede realizar usando tantos términos o niveles cuantitativos como deseemos, por ejemplo: bajo-medio-alto-crítico. Al valorar tanto probabilidad como impacto, pueden utilizarse tablas matriciales que midan ambos parámetros y nos permitan determinar prioridades, por ejemplo:
- Tratamiento de los riesgos: Determinar cómo se van a tratar los riesgos, en base a los límites que hayamos marcado. Por ejemplo, hay que decidir si se van a mitigar todos los riesgos catalogados como altos o críticos, o si se van a asumir los calificados como bajos. En esta fase también deben tenerse en cuenta los recursos de que dispone la organización, por lo que el riesgo podría ser transferido a un tercero, eliminado (por ejemplo, suprimiendo un equipo obsoleto), asumido (por ejemplo, por tener un bajo riesgo o un coste inasumible) o si se implantarían las medidas necesarias para mitigarlo.
Cabe señalar que la complejidad y el tamaño de la organización repercuten en el tiempo que lleve la tarea y las posibles dificultades que se encuentren en el proceso.
También te interesa: Plan Director de Seguridad (PDS)
