viernes, 21 de febrero de 2014

Gestión del Riesgo

La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la entidad buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.


Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información.

Una de las técnicas para evaluar en una entidad su nivel de Seguridad es realizar un análisis de Riesgos. El estudio puede incluir la visión de negocio, si se realiza el estudio después de la realización del Análisis de Impacto sobre el Negocio BIA (Business Impact Analysis).

La realización del análisis de riesgos proporciona a las organizaciones una visión de la situación en cuanto al nivel de protección de los sistemas de información. Por este motivo, se constituye como uno de los pilares fundamentales a la hora de conocer de manera de detallada la infraestructura y el funcionamiento interno.

Con el análisis de riesgo sobre los sistemas de la organización se conseguirán los siguientes objetivos:
  • Identificar y valorar los procesos más críticos de negocio, con el propósito de identificar el nivel de protección adecuado.
  • Determinar i evaluar las amenazas existentes, determinando su grado de efectividad para hacer frente a los riesgos existentes.
  • Calcular el nivel de riesgo, existente, de forma que la organización conozca con detalle la probabilidad de materialización de cada una de las amenazas y el impacto que estas pueden ocasionar.

Para efectuar un análisis de riesgos con garantías, entre otras, se puede seleccionar la metodología MAGERIT, elaborada por el ‘Consejo Superior de Administración Electrónica’.

MAGERIT es el acrónimo de ‘Metodología de Análisis y Gestión del Riesgo de los Sistemas de Información’, y nace para minimizar los riesgo asociados al uso de los sistemas informáticos y telemáticos, garantizando su autenticidad, confidencialidad, integridad y disponibilidad de dichos sistemas y generando así la confianza en el usuario de los mismos.

A nivel conceptual, MAGERIT se basa en la evaluación y relación lógica de los siguientes conceptos:

Tal y como muestra el esquema, todo el análisis gira entorno de los conceptos:
  • Activo: elemento que tiene un valor para la organización
  • Amenaza: acontecimiento que supone un impacto negativo sobre el activo y
  • Salvaguarda: medida implantada para proteger el propio activo

Los objetivos principales son:
  1. Determinar los activos relevantes para la organización, su interrelación y su valor, en el sentido de qué perjuicio supondría su degradación.
  2. Determinar a qué amenazas están expuestos dichos activos
  3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo.
  4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza.
  5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectación de materialización de la amenaza).

Llegando finalmente a un concepto MEDIBLE que es el riesgo al que la entidad queda expuesta, es decir a una vulnerabilidad provocada por una amenazada.

Conviene aclarar la existencia de dos variables de riesgo diferenciadas. La primera de ellas se acostumbra a nombrar RIESGO POTENCIAL, es decir el riesgo al que estaría expuesta la organización sino existiera ningún tipo de salvaguarda implantada. Todo y ser un valor de riesgo ‘ficticio’ es un valor muy práctico en el momento de implementar nuevas salvaguardas en la entidad, ya que permite simular la evolución del nivel de riesgo a medida que se introducen nuevas medidas de seguridad. En cambio, el RIESGO RESIDUAL se ha de considerar como el nivel de riesgo actual, y por tanto la base sobre la cual se estructuraran los planes de continuidad de los servicios prestados.

Existen herramientas, como el software EAR/PILAR, diseñadas para gestionar de manera eficiente los riesgos según la metodología expuesta.   


Con esta información, juntamente con los requisitos de las normativas aplicables, la organización/entidad podrá seleccionar y priorizar aquellas medidas técnicas que permitan mejorar de manera eficiente el nivel de seguridad de sus sistemas de información. 
Publicado por
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)