4 PASOS PARA REALIZAR UNA EVALUACIÓN METÓDICA DE LOS RIESGOS DE SEGURIDAD DE LA

INFORMACIÓN

La gestión adecuada de un Sistema de Gestión de Seguridad de la Información (SGSI) requiere una

evaluación metódica de los riesgos identificados

Para realizar esta evaluación es importante analizar los siguientes cuatro aspectos:

1. Las amenazas a los activos de información.

Las amenazas son agentes (elementos o acciones) capaces de atentar contra la seguridad de la
información y, como consecuencia de ello, causar pérdidas o daños a los activos de una empresa.

Estas amenazas surgen a partir de la existencia de vulnerabilidades, es decir que una amenaza sólo
puede existir si existe una vulnerabilidad que pueda ser aprovechada, e independientemente de
que se comprometa o no la seguridad de un sistema de información.

Es importante analizar tanto las amenazas intencionales como no intencionales.

Las amenazas Intencionales, son aquellas en las que deliberadamente se intente producir un daño
(por ejemplo el robo de información aplicando la técnica de trashing)

Las amenazas No intencionales, en las cuales se producen acciones u omisiones de acciones que si
bien no buscan explotar una vulnerabilidad, ponen en riesgo los activos de información y pueden
producir un daño (por ejemplo las amenazas relacionadas con fenómenos naturales).

La presencia de una amenaza es una advertencia de que puede ser inminente el daño a algún
activo de la información, o bien es un indicador de que el daño se está produciendo o ya se ha
producido. Por ello siempre debe ser reportada como un incidente de seguridad de la información.

Este análisis se debe realizar periódicamente debido a que los activos están constantemente
sometidos a amenazas que pueden poner en riesgo la integridad, confidencialidad y disponibilidad
de la información.

2. Los factores de vulnerabilidad ante la posibilidad de que una amenaza se materialice.

Los factores de vulnerabilidad son puntos de vista desde los cuales se analizan las amenazas. Están
en constante interacción y son dinámicos debido a que la misma realidad en la que se presentan lo
es.

Se deben tener en cuenta principalmente, los siguientes:

- Entorno en el que lleva a cabo la actividad de la empresa

- Cambios inesperados en políticas y regulaciones
- Cultura propia de la institución
- Sector de actividad (si se utiliza o no de forma intensiva la tecnología)
 3. El impacto potencial de cualquier incidente de seguridad de la información sobre los
activos de información.

Un incidente es un evento en la seguridad de la información que es indeseado y/o inesperado que

tiene una probabilidad significativa de comprometer las operaciones y amenazar la seguridad de la
información.

Para definir la respuesta indicada para cada incidente se deben priorizar de acuerdo a su impacto y
urgencia. El Impacto es el daño causado al negocio (en términos económicos, imagen, etc.) y la
Urgencia es la rapidez con la cual la organización necesita corregir el incidente.

Esta priorización también debe tener en cuenta:

- El sistema o servicio o usuario afectado

- La evaluación realizada tanto por el usuario como por el equipo de gestión que debe
revisar la prioridad.
- Los parámetros de calidad tanto en su resolución como de su clasificación.

4. Identificar y analizar riesgos asociados a la pérdida de confidencialidad, integridad y

disponibilidad e identificar al propietario de esos riesgos

De acuerdo a la norma ISO 27001, la Seguridad de la Información tiene tres dimensiones

fundamentales:

Confidencialidad: se refiere al acceso a la información por parte únicamente de quienes estén

autorizados. Los dos medios que se emplean para asegurar esta dimensión son a verificación y la
autorización.

Disponibilidad: se refiere al acceso a la información y los sistemas de tratamiento de la misma por

parte de los usuarios autorizados cuando lo requieran. Se debe evitar la falta de garantías de la
prestación del servicio, tanto por parte del prestador del servicio como del solicitante o tomador
(controles de identificación, congestión de líneas); igualmente se debe evitar la pérdida de
servicios de los recursos de información por causa de catástrofes naturales o por fallos de equipos,
acción de virus, etc.

Integridad: significa un mantenimiento de la exactitud y completitud de la información y sus

métodos de proceso, su objetivo es prevenir modificaciones no autorizadas de la información. Es
importante considerar tanto la integridad de los datos (volumen de la información) como la
integridad del origen (fuente de datos)

Esta evaluación de riesgos permite que el gasto en controles de seguridad pertinentes sea
proporcional al impacto calculado para el negocio y basado en la percepción de probabilidad de
que el riesgo se materialice.