La seguridad de
la información es el conjunto de medidas preventivas y reactivas de las organizaciones
y de los sistemas tecnológicos que permiten resguardar y proteger la entidad buscando mantener la confidencialidad, la
disponibilidad e integridad de la misma.
Para ello existen
una serie de estándares, protocolos, métodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la
información.
Una de las
técnicas para evaluar en una entidad su nivel de Seguridad es realizar un
análisis de Riesgos. El estudio puede incluir la visión de negocio, si se realiza
el estudio después de la realización del Análisis de Impacto sobre el Negocio
BIA (Business Impact Analysis).
La realización
del análisis de riesgos proporciona a las organizaciones una visión de la
situación en cuanto al nivel de protección de los sistemas de información. Por
este motivo, se constituye como uno de los pilares fundamentales a la hora de
conocer de manera de detallada la infraestructura y el funcionamiento interno.
Con el análisis
de riesgo sobre los sistemas de la organización se conseguirán los siguientes
objetivos:
- Identificar y valorar los procesos más críticos de negocio, con el propósito de identificar el nivel de protección adecuado.
- Determinar i evaluar las amenazas existentes, determinando su grado de efectividad para hacer frente a los riesgos existentes.
- Calcular el nivel de riesgo, existente, de forma que la organización conozca con detalle la probabilidad de materialización de cada una de las amenazas y el impacto que estas pueden ocasionar.
Para efectuar un análisis de
riesgos con garantías, entre otras, se puede seleccionar la metodología MAGERIT, elaborada por el ‘Consejo
Superior de Administración Electrónica’.
MAGERIT es el acrónimo de
‘Metodología de Análisis y Gestión del Riesgo de los Sistemas de Información’,
y nace para minimizar los riesgo asociados al uso de los sistemas informáticos
y telemáticos, garantizando su autenticidad, confidencialidad, integridad y
disponibilidad de dichos sistemas y generando así la confianza en el usuario de
los mismos.
A nivel conceptual, MAGERIT se
basa en la evaluación y relación
lógica de los siguientes conceptos:
Tal y como muestra el esquema,
todo el análisis gira entorno de los conceptos:
- Activo: elemento que tiene un valor para la organización
- Amenaza: acontecimiento que supone un impacto negativo sobre el activo y
- Salvaguarda: medida implantada para proteger el propio activo
Los objetivos
principales son:
- Determinar los activos relevantes para la organización, su interrelación y su valor, en el sentido de qué perjuicio supondría su degradación.
- Determinar a qué amenazas están expuestos dichos activos
- Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo.
- Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza.
- Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectación de materialización de la amenaza).
Llegando finalmente a un concepto
MEDIBLE que es el riesgo al que la entidad queda expuesta, es decir a una
vulnerabilidad provocada por una amenazada.
Conviene aclarar
la existencia de dos variables de riesgo diferenciadas. La primera de ellas se
acostumbra a nombrar RIESGO POTENCIAL, es decir el riesgo al que estaría expuesta
la organización sino existiera ningún tipo de salvaguarda implantada. Todo y
ser un valor de riesgo ‘ficticio’ es un valor muy práctico en el momento de implementar
nuevas salvaguardas en la entidad, ya que permite simular la evolución del
nivel de riesgo a medida que se introducen nuevas medidas de seguridad. En cambio,
el RIESGO RESIDUAL se ha de considerar como el nivel de riesgo actual, y por
tanto la base sobre la cual se estructuraran los planes de continuidad de los
servicios prestados.
Existen
herramientas, como el software EAR/PILAR, diseñadas para gestionar de manera
eficiente los riesgos según la metodología expuesta.
Con esta
información, juntamente con los requisitos de las normativas aplicables, la
organización/entidad podrá seleccionar y priorizar aquellas medidas técnicas que
permitan mejorar de manera eficiente el nivel de seguridad de sus sistemas de
información.
No hay comentarios:
Publicar un comentario