Sigue el camino del análisis de riesgos

Publicado el 04/09/2014, por INCIBE
Indicador de nivel de riesgos con 3 gamas de colores: verde, amarillo y rojo

En la actualidad nuestras organizaciones tienen una gran dependencia de sus sistemas de información. Proteger estos sistemas implica que destinemos una serie de recursos para implantar las medidas de seguridad adecuadas. La mejor manera de destinar estos recursos de un modo adecuado es identificar los principales riesgos a los que están expuestos nuestros sistemas de información. ¿Cómo? A través de un análisis de riesgos.

Podemos entender el análisis de riesgos como un estudio que deberemos hacer nosotros mismos o un tercero, con el fin de identificar los activos críticos de los sistemas de información que dan soporte a los procesos de negocio de nuestra organización y las amenazas que puede comprometer su disponibilidad, integridad o confidencialidad.

De este modo realizar una análisis de riesgos requiere llevar a cabo una serie de etapas que nos permitan obtener una imagen rigurosa de los riesgos a los que se encuentra expuesta nuestra organización. Estas etapas quedan descritas a continuación:

  1. Identificación de activos: En esta etapa se identifican los recursos del sistema de información que son necesarios para que los procesos de negocio de nuestra organización funcionen correctamente. Dentro de estos activos podemos encontrar servidores, aplicaciones, proveedores, personal, instalaciones, etc.
  2. Evaluación de activos: En esta etapa deberemos otorgar un valor cualitativo o cuantitativo a los activos o a los procesos de negocio (si previamente hemos establecido relaciones entre ellos). Esta valoración puede realizarse teniendo en cuenta aspectos como la disponibilidad, la confidencialidad o la integridad. Preguntas como ¿Cuál es la importancia de que este servidor esté funcionando? o ¿Cómo de importante es mantener la confidencialidad de determinada información?
  3. Identificación de amenazas: En esta etapa deberemos identificar que amenazas pueden comprometer nuestros activos. Amenazas como avería de origen físico, fugas de información, incendio o robo de equipos serviría como ejemplos de amenazas.
  4. Evaluación de amenazas: En esta etapa se deberán identificar la probabilidad y el impacto de que una amenaza afecte a un activo. Sirva de ejemplo la probabilidad de avería física de un servidor podría ser de 1 vez al año, causando un impacto total a la disponibilidad del servidor. Evaluadas las amenazas obtendremos el riesgo intrínseco existente en nuestros sistemas de información, es decir el riesgo al que estamos expuestos sin tener en cuenta las medidas de seguridad existentes.
  5. Identificación de medidas de seguridad existentes: Para obtener el riesgo real deberemos tener en cuenta las medidas de seguridad que ya existen en nuestra organización. Estas medidas disminuirán la probabilidad o el impacto de determinadas amenazas, lo que redundará en un riesgo menor.
  6. Evaluación de riesgos: Tras evaluar identificar las medidas de seguridad, obtendremos los riesgos reales a los que en el momento del análisis de riesgos estamos expuestos. Es lo que se conoce como riesgo residual.

El análisis de riesgos es importante porque nos permite identificar los principales riesgos existentes en nuestra organización. Una vez los hayamos identificado y analizado debemos centrarnos en la gestión de esos riesgos y para ello, es imprescindible definir el umbral que determinará qué riesgos los consideramos asumibles y cuáles no. Es lo que se conoce como apetito por el riesgo. A partir de aquí deberemos definir un plan de tratamiento de riesgos que recoja qué acciones vamos a realizar para controlar estos riesgos identificados durante el análisis.

A continuación en nuestra infografía, os mostraremos de forma gráfica las etapas de las que se compone un análisis de riesgo.

Infografía sigue el camino del analisis de riesgos Identificación de activos: En esta etapa se identificación los recursos del sistema de información que son necesarios para que los procesos de negocio de nuestra organización funcionen correctamente. Dentro de estos activos podemos encontrar servidores, aplicaciones, proveedores, personal, instalaciones, etc. Evaluación de activos: En esta etapa deberemos otorgar un valor cualitativo o cuantitativo a los activos o a los procesos de negocio (si previamente hemos establecido relaciones entre ellos). Esta valoración puede realizarse teniendo en cuenta aspectos como la disponibilidad, la confidencialidad o la integridad. Preguntas como ¿Cuál es la importancia de que este servidor esté funcionando? O ¿Cómo de importante es mantener la confidencialidad de determinada información? Identificación de amenazas: En esta etapa deberemos identificar que amenazas pueden comprometer nuestros activos. Amenazas como avería de origen físico, fugas de información, incendio o robo de equipos serviría como ejemplos de amenazas. Evaluación de amenazas: En esta etapa se deberán identificar la probabilidad y el impacto de que una amenaza afecte a un activo. Sirva de ejemplo la probabilidad de avería física de un servidor podría ser de 1 vez al año, causando un impacto total a la disponibilidad del servidor. Evaluadas las amenazas obtendremos el riesgo intrínseco existente en nuestros sistemas de información, es decir el riesgo al que estamos expuestos sin tener en cuenta las medidas de seguridad existentes. Identificación de medidas de seguridad existentes: Para obtener el riesgo real deberemos tener en cuenta las medidas de seguridad que ya existen en nuestra organización. Estas medidas disminuirán la probabilidad o el impacto de determinada amenazas, lo que redundará en un riesgo menor.