Está en la página 1de 6

Esquemas de Seguridad Informática

Análisis de Riesgos

Definición

Podemos definir el riesgo como: la posibilidad de que ocurra algún evento negativo para las personas y/o empresas. Ya que cualquier persona o entidad está expuesta a una serie de riesgos derivados de factores internos y externos, tan variables como su propio personal, su actividad, la situación económica, la asignación de sus recursos financieros o la tecnología utilizada (Rodríguez, 1995).

Los equipos de cómputo que habitualmente se utilizan en las empresas están sujetos al riesgo de que ocurra alguna eventualidad que los dañe y debido a que no existe una seguridad total y las medidas de seguridad no pueden asegurar al 100% la protección en contra de las vulnerabilidades, es imprescindible realizar periódicamente en una organización, un análisis de riesgos, para identificar las consecuencia probables o los riesgos asociados con las vulnerabilidades, y así, lograr un manejo de riesgo tras la implementación y mantenimiento de controles que reduzcan los efectos de éste a un nivel aceptable.

El análisis de riegos proporciona herramientas útiles para cuantificar el riesgo y evaluar si este análisis es adecuado, tomar medidas para reducirlo, además intenta mantener un balance económico entre el impacto de los riesgos y el costo de las soluciones de un programa efectivo de seguridad destinadas a manejarlos.

Esquemas de Seguridad Informática

Análisis de Riesgos Tipos de análisis del riesgo

Una de las principales funciones del análisis del riesgo de seguridad es poner este proceso sobre una base más objetiva.

Existen dos tipos esenciales del análisis del riesgo:

1. Análisis cuantitativo del riesgo

Análisis cuantitativo del riesgo

Todos los activos, sus recursos y los controles se identifican, y se evalúan en términos monetarios. Todas las amenazas potenciales se identifican y se estima la frecuencia de su ocurrencia, estas amenazas se comparan con las vulnerabilidades potenciales del sistema de tal forma que se identifiquen las áreas que son sensibles.

Posteriormente el análisis cuantitativo del riesgo hace uso del término Expectativa de Pérdida Anual (ALE) o Costo Anual Estimado (EAC), el cual es calculado para cierto acontecimiento simplemente multiplicando la frecuencia de la ocurrencia de la amenaza por el valor del activo o clasificación del daño. Para esto, es necesario recolectar con detalle estimaciones exactas utilizando técnicas matemáticas y estadísticas.

De esta forma se puede decidir si los controles existentes son adecuados o si se requiere la implementación de otros, esto se observa cuando el producto obtenido tras multiplicar el valor del activo por la frecuencia de la ocurrencia de la amenaza en un período de tiempo determinado por la duración del control es menor que el costo de dicho control.

Los problemas con este tipo de análisis de riesgo se asocian generalmente a la falta de fiabilidad y a la inexactitud de los datos y algunas veces puede interpretarse erróneamente los resultados.

2. Análisis cualitativo del riesgo

Consideraciones y Relaciones del Análisis de Riesgos

En

un proceso de análisis

del riesgo debe considerarse la siguiente

terminología:

  • 1. Activo: es todo aquello con valor para una organización y que necesita protección –datos infraestructura, hardware, software, personal y su experiencia, información, servicios-.

  • 2. Riesgo: posibilidad de sufrir algún daño o pérdida.

  • 3. Aceptación del riesgo: decisión para aceptar un riesgo.

  • 4. Análisis de riesgo: uso sistemático de información disponible para identificar las fuentes y para estimar qué tan seguido determinados eventos no deseados pueden ocurrir y la magnitud de sus consecuencias. Uso sistemático de la información para describir y calcular el riesgo (ver tabla 5.3). Evaluación de amenazas y vulnerabilidades de la información y su impacto (ver tabla 5.4) en el procesamiento de la información así como su frecuencia de ocurrencia (ver tabla 5.5).

Tabla 5.3 Un ejemplo de la escala del riesgo

Consideraciones y Relaciones del Análisis de Riesgos En un proceso de análisis del riesgo debe considerarse

Tabla 5.4 Un ejemplo de impacto del acontecimiento

Consideraciones y Relaciones del Análisis de Riesgos En un proceso de análisis del riesgo debe considerarse

Tabla 5.5 Un ejemplo de la frecuencia de ocurrencia de un acontecimiento

Tabla 5.5 Un ejemplo de la frecuencia de ocurrencia de un acontecimiento 1. Manejo de riesgo:
  • 1. Manejo de riesgo: proceso de identificación, control y minimización o eliminación de riesgos de seguridad que pueden afectar sistemas de información, por un costo aceptable.

  • 2. Evaluación del riesgo: comparación de los resultados de un análisis del riesgo con los criterios estándares del riesgo u otros criterios de decisión.

  • 3. Impacto: pérdidas como resultado de la actividad de una amenaza, las pérdidas son normalmente expresadas en una o más áreas de impacto –destrucción, denegación de servicios, revelación o modificación-.

  • 4. Pérdida esperada: el impacto anticipado y negativo a los activos

debido

a

una

manifestación

de

la

amenaza.

  • 5. Vulnerabilidad: una condición de debilidad.

  • 6. Amenaza: una acción potencial (que puede suceder o existir, pero

no

existe

aún)

con

la

posibilidad

de

causar daño.

  • 7. Riesgo residual: el nivel de riesgo que queda después de la consideración de todas las medidas necesarias, los niveles de vulnerabilidad y las amenazas relacionadas. Éste debe ser aceptado como es o reducirse a un punto donde pueda ser aceptado.

8. Control: son

los

protocolos

y

mecanismos

de

protección

que

permiten

el

cumplimiento

de

las

políticas

de

seguridad

de

la

organización

Consideraciones y Relaciones del Análisis de Riesgos

Un análisis de riesgo de seguridad es un procedimiento para estimar el riesgo de los activos de cómputo relacionados y la pérdida debido a la manifestación de las amenazas. El procedimiento primer determina el nivel de vulnerabilidad del activo tras identificar y evaluar el efecto de los controles colocados en el lugar. Un nivel de vulnerabilidad de activo para cierta amenaza se determina con controles que se encuentran en el lugar en el momento en el que se realiza el análisis del riesgo.

Un análisis de riesgos de seguridad define el ambiente actual y realiza acciones correctivas recomendadas si el riesgo residual no es aceptable; es un parte virtual de cualquier programa de manejo de riesgo de seguridad. El proceso de análisis de riesgo debe ser realizado con suficiente regularidad para asegurar que cada aproximación del manejo del riesgo de la organización sea respuesta real a los riesgos actuales asociados con la información de sus activos. El manejo de riesgos debe decir si acepta el riesgo residual o implementa las actividades recomendadas.

Las relaciones entre lo elementos de un análisis del riesgo se muestra en la figura 5.13.

Figura 5.13 Relaciones entre los elementos de un análisis de riesgo. El objetivo del análisis de

Figura 5.13 Relaciones entre los elementos de un análisis de riesgo.

El objetivo del análisis de riegos es tener capacidad de:

Identificar, evaluar y manejar los riesgos de seguridad.

Estimar la exposición de un recurso a una amenaza determinada.

Determinar qué combinación de medidas de seguridad proporcionará un nivel de seguridad razonable a un costo aceptable.

Tomar mejores decisiones en seguida de la información.

Enfocar recursos y esfuerzos en la protección de activos