Las amenazas empiezan a existir cuando están presentes las vulnerabilidades y en consecuencia a ellas da pie a los incidentes son los hechos que se desea que sean evitados puesto que genera resultados negativos conocidos como impactos.
Retomando lo dicho la semana pasada, la gestión de riesgos tiene cuatro fases, en esta semana profundizaremos un poco la primera que es el análisis.
El análisis de riesgo es la fase en la que se identifican las vulnerabilidades y las amenazas de los activos de la organización con la finalidad de conocer la probabilidad de que un riesgo se materialice.
Al realizar el proceso de análisis se siguen los siguientes pasos:
- Definir los activos informáticos a analizar
En este primer paso se deben clasificar con el objetivo de proteger los datos, para ello se debe definir los niveles de autorización del acceso a la información que le brinda valor a la compañía. Los datos pueden ser clasificada en:
a. Confidencial (accedido solo por el personal interno autorizado de la organización)
b. Privado (accedido solo por el personal interno de la organización)
c. Sensitivo (acceso controlado personal interno y publico con privilegios)
d. Publico
Clasificar los datos y los flujos de la información son esenciales en el resultado del análisis de riesgos y las medidas de protección a implementarse.
Porque solo si sabemos quienes tienen acceso a que datos y su respectiva clasificación, podemos determinar el riesgo de los datos, al sufrir un daño causado por un acceso no autorizado.
- Identificar las amenazas y determinar la probabilidad de ocurrencia de las amenazas
Las amenazas se hacen presentes cuando existen vulnerabilidades, y el poder conocer las vulnerabilidades nos permite eliminar esa amenaza, una forma de identificarlas es basándonos en supuestos es decir, imaginar como si un desastre hubiese ocurrido y pensar en los diferentes componentes en este caso de un sistema informático q hallan sido el camino mas fácil para que el incidente ocurriera.
Para obtener resultados efectivos debemos preguntarnos:
i. ¿Cuál es el interés por parte de individuos externos, de atacarnos?
Un motivo puede ser el valor de la información, como por ejemplo la información de interés para nuestra competencia.
ii. ¿Cuáles son nuestras vulnerabilidades?
Para identificarlas se recomienda escoger los grupos de personas encargadas de manejar los diferentes sistemas de la empresa, para tener una visión general de las amenazas que estamos expuestos.
iii. ¿Cuántas veces ya han tratado de atacarnos?
Nos sirve para identificar una amenazas y la frecuencia en que ocurre nos puede dar una visión de cuando volverá a ocurrir. En el caso de que ya tenemos implementadas medidas de protección es importante llevar un registro, que muestra los casos cuando la medida se aplico exitosamente y cuando no. Porque de tal manera, sabemos en primer lugar si todavía existe la amenaza y segundo, cuál es su riesgo actual.
La probabilidad de la amenaza se puede catalogar en:
· Baja: existen condiciones que hacen muy lejana la posibilidad del ataque.
· Media: existen condiciones para que el ataque no ocurra en corto plazo pero si a largo.
· Alta: no existen condiciones que impidan que ocurra el ataque.
- Determinar el impacto de la amenazas
Cuando nos referimos a un impacto que es causado por un incidente tal y como se muestra en la figura que se muestra al inicio de este tema, entre los impactos encontramos:
· Perdida de la información
· Personas ajenas tienen acceso a la información
· La información ha sido manipulada o esta incompleta
Estimar la Magnitud de Daño generalmente es una tarea muy compleja. La manera más fácil es expresar el daño de manera cualitativa, lo que significa que aparte del daño económico, también se considera otros valores como daños materiales, imagen, emocionales, entre otros. Expresarlo de manera cuantitativa, es decir calcular todos los componentes en un solo daño económico, resulta en un ejercicio aun más complejo y extenso.
Aunque conozcamos bien el impacto de un ataque exitoso, sus consecuencias pueden ser múltiples, a veces son imprevisibles y dependen mucho del contexto donde manejamos la información, sea en una ONG (derechos humanos, centro de información etc.), en una empresa privada (banco, clínica, producción etc.), en una institución Estatal o en el ámbito privado. Otro factor decisivo, respecto a las consecuencias, es también el entorno donde nos ubicamos, es decir cuales son las Leyes y prácticas comunes, culturales que se aplica para sancionar el incumplimiento de las normas.
- Recomendar controles que disminuyan la probabilidad de los riesgos
Como ultimo paso es sugerir herramientas o soluciones para controlar o en el mejor de los casos eliminar la probabilidad de que ocurra el riesgo, para que puedan ser consideradas en las siguientes fases como una opción a implementar como solución.
matriz del análisis de riesgos
· Bajo Riesgo = 1 – 6 (verde)
· Medio Riesgo = 8 – 9 (amarillo)
· Alto Riesgo = 12 – 16 (rojo)
El análisis de riesgos puede ocurrir antes o después de la definición de una política
de seguridad. Según la norma internacional ISO 17799, esta actividad puede
ser hecha después de la definición de la política.
El propósito de tomar en cuenta una política de seguridad en el análisis se debe a
varias razones:
- La política de seguridad delimita el alcance del análisis.
- Permite ser selectivo en la verificación de activos que la política establece como vulnerables.
- El análisis toma en cuenta la lista de amenazas potenciales que la misma política contempla.
Bibliografía
“Análisis y control de riesgos de seguridad informática: control adaptativo”, en línea, ultima consulta: 06-febrero/2011 Disponible en: