Análisis de riesgo informático

(Redirigido desde «Analisis de riesgo informatico»)

Ir a la navegaciónIr a la búsqueda
El análisis de riesgos informáticos es un proceso que comprende la identificación de
activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así
como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los
controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o
administrativas a una empresa u organización, se tiene la necesidad de poder estimar la
magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de
controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto
formando una arquitectura de seguridad con la finalidad de preservar las propiedades de
confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

Índice

 1Introducción
 2Proceso de análisis de riesgos informáticos
 3Consideraciones
 4Elementos relacionados
 5Herramientas de apoyo
 6Regulaciones y normas que tratan el riesgo
 7Metodologías de análisis de riesgos
 8Herramientas comerciales
 9Véase también
 10Referencias
o 10.1Bibliografía

Introducción[editar]
Los riesgos de seguridad de información deben ser considerados en el contexto del negocio, y
las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo,
producción, operaciones, administración, TI, finanzas, etcétera y los clientes deben ser
identificados para lograr una imagen global y completa de estos riesgos.
Cada organización tiene una misión. En esta era digital, las organizaciones que utilizan
sistemas tecnológicos para automatizar sus procesos o información deben de ser conscientes
de que la administración del riesgo informático juega un rol crítico.
La meta principal de la administración del riesgo informático debería ser “proteger a la
organización y su habilidad de manejar su misión” no solamente la protección de los
elementos informáticos. Además, el proceso no solo debe de ser tratado como una función
técnica generada por los expertos en tecnología que operan y administran los sistemas, sino
como una función esencial de administración por parte de toda la organización.
Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad,
considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a
grandes rasgos que la administración de riesgos es el proceso de identificación, evaluación y
toma de decisiones para reducir el riesgo a un nivel aceptable.
El análisis de riesgo informático es un elemento que forma parte del programa de gestión de
continuidad de negocio (Business Continuity Management)
En el análisis de riesgo informático es necesario identificar si existen controles que ayudan a
minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir,
la vulnerabilidad será de riesgo no controlado.
Dentro de la evaluación del riesgo es necesario realizar las siguientes acciones: Calcular el
impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el
riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de
forma cuantitativa (asignando pesos) o de forma cualitativa (matriz de riesgos)

Proceso de análisis de riesgos informáticos[editar]

El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce
como matriz de riesgo. En este documento se muestran los elementos identificados, la
manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es
indispensable para lograr una correcta administración del riesgo. La administración del riesgo
hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de
riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo,
evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo
total es:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles
podremos obtener el riesgo residual.
Como se describe en el BS ISO/IEC 27001:2005, la evaluación del riesgo incluye las
siguientes actividades y acciones:

 Identificación de los activos.

 Identificación de los requisitos legales y de negocio que son relevantes para la
identificación de los activos.
 Valoración de los activos identificados, teniendo en cuenta los requisitos legales y de
negocio identificados anteriormente, y el impacto de una pérdida de confidencialidad,
integridad y disponibilidad.
 Identificación de las amenazas y vulnerabilidades importantes para los activos
identificados.
 Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
 Cálculo del riesgo.
 Evaluación de los riesgos frente a una escala de riesgo preestablecidos.
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los
riesgos residuales que se identificaron. Las acciones pueden ser:

 Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
 Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo.
 Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a
un tercero.
 Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto
se acepta.
Consideraciones[editar]
No se olvide que en las empresas la seguridad comienza por dentro. Capacitando al personal,
creando normas basadas en estándares, analizando brechas y puntos ciegos en la seguridad
lógica y en la seguridad de sistemas de información.
Es fundamental la creación de escenarios de conflicto en forma continua participando la
gerencia de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden
lograrse medidas para evitar eventos de seguridad.

Elementos relacionados[editar]
 Activo. Es un objeto o recurso de valor empleado en una empresa u organización

 Amenaza. Es un evento que puede causar un incidente de seguridad en una empresa

u organización produciendo pérdidas o daños potenciales en sus activos.

 Vulnerabilidad. Es una debilidad que puede ser explotada con la materialización de

una o varias amenazas a un activo.

 Riesgo. Es un incidente o situación, que ocurre en un sitio concreto en un intervalo de

tiempo determinado, con consecuencia negativas o positivas que pueden afectar el
cumplimiento de los objetivos

 Análisis. Examinar o descomponer un todo detallando cada uno de los elementos que
lo forman a fin de terminar la relación entre sus principios y elementos.

 Control. Es un mecanismo de seguridad de prevención y corrección empleado para

disminuir las vulnerabilidades
Este proceso administración de riesgo es un proceso continuo dado que es necesario evaluar
periódicamente si los riesgos encontrados y si estos tienen una afectación, hay que hacer
cálculo en las diferentes etapas del riesgo. La mecánica que se ve inversa el mayor número
de las organizaciones hoy en día es en el esfuerzo del día a día. Es por eso realizar análisis
de riesgo del proyecto referido al proyecto y el impacto futuro en la estructura de riesgo de la
organización. AA

Herramientas de apoyo[editar]
Existen varias herramientas en el mercado con las que se puede uno apoyar a la hora de
evaluar los riesgos, principalmente en el proceso de evaluación de los mismos. Una vez
terminado este proceso se debe documentar toda la información recabada para su análisis
posterior. La herramienta que debemos seleccionar debe contener al menos un módulo de
recolección de datos, de análisis de los mismos y otro de reportes. La importancia de un buen
análisis y una buena presentación de los datos analizados nos llevarán a una efectiva
interpretación de la situación actual de los riesgos y por ende, la selección de los controles
que debemos implementar será la más acertada en el proceso de selección, ahorrando costos
en productos y costos de operación además del ahorro de tiempo.

Regulaciones y normas que tratan el riesgo[editar]

Comunicación “A” 4609 del BCRA para entidades Financieras
• Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con
tecnología informática y sistemas de información.
ISO/IEC 27001
• Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un
Sistema de Gestión de la Seguridad de la Información (SGSI)
ISO/IEC 27005
• Esta Norma proporciona directrices para la Gestión del riesgo de Seguridad de la
Información en una Organización. Sin embargo, esta Norma no proporciona ninguna
metodología específica para el análisis y la gestión del riesgo de la seguridad de la
información.
Basilea II
• Estándar internacional que sirva de referencia a los reguladores bancarios, con objeto de
establecer los requerimientos de capital necesarios, para asegurar la protección de las
entidades frente a los riesgos financieros y operativos.
Ley Sarbanes Oxley (SOX)
• Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos
que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de
medidas tendientes a asegurar la efectividad de los controles internos sobre reportes
financieros.
PCI DSS
• Impulsada por las principales marcas de tarjetas de pago, este estándar busca garantizar la
seguridad de los datos de titulares de tarjetas de pago en su procesado, almacenamiento y
transmisión.

Metodologías de análisis de riesgos[editar]

 ITIL: Information Technology Infraestructure Library “proporciona un planteamiento
sistemático para la provisión de servicios de TI con calidad”. (Jan van Bon, 2008)
 COBIT 5: Significa (Objetivos de control para la información y tecnologías
relacionadas) es una metodología publicada en 1996 por el Instituto de Control de TI y la
ISACA (Asociación de Auditoría y Control de Sistemas de Información).
 ISO 31000: Esta normativa establece principio y guías para diseñar, implementar
mantener la gestión de los riesgos en forma sistemática y de transparencia de toda forma
de riesgo, por ejemplo: financiera, operativa, de mercadeo, de imagen, y de seguridad de
información.
 Citicus One: software comercial de Citicus, implementa el método FIRM del Foro de
Seguridad de la Información;
 CRAMM: “CCTA Risk Assessment and Management Methodology” fue originalmente
desarrollado para uso del gobierno de UK pero ahora es propiedad de Siemens;
 ISO TR 13335: fue el precursor de la ISO/IEC 27005;
 MAGERIT “Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información” está disponible tanto en español como en inglés.
 OCTAVE: “Operationally Critical Threat, Asset, and Vulnerability Evaluation”
Metodología de Análisis y Gestión de Riesgos desarrollada por el CERT;
 NIST SP 800-39 “Gestión de Riesgos de los Sistemas de Información, una perspectiva
organizacional”;
 NIST SP 800-30: Guía de Gestión de Riesgos de los Sistemas de Tecnología de la
Información, es gratuito;
 Mehari: Método de Gestión y Análisis de Riesgos desarrollado por CLUSIF (Club de la
Sécurité de l'Information Français);
 AS/NZS: Norma de Gestión de Riesgos publicada conjuntamente por Australia y
Nueva Zelanda y ampliamente utilizada en todo el mundo.

Herramientas comerciales[editar]
 GxSGSI: Herramienta de Análisis y Gestión de Riesgo basada en Magerit
y homologada por la Agencia Europea de Seguridad de la Información (ENISA).1
 R-Box: Solución para la Gestión de la Seguridad de la Información y cumplimiento de
estándares. Módulo de Análisis y Gestión de Riesgo.2
 Focal Point: plataforma para la gestión de riesgo tecnológico y operacional. Soporta
directrices regulatorias como MAAGTICSI, ISO 27001:2013, entre
otras. https://web.archive.org/web/20161009155348/http://aluxit.com/soluciones.html
 SECITOR: Herramienta de Análisis y Gestión de Riesgos de alto nivel que permite la
gestión integral de la Seguridad de la Información siendo un sistema multimarco (ISO
27001, Protección de datos, ENS, ISO 19001, etc), además de una monitorización en
tiempo real de la seguridad de la organización. http://www.secitor.com/

Véase también[editar]
 Seguridad informática

Referencias[editar]
1. ↑ GxSGSI Archivado el 19 de diciembre de 2014 en la Wayback Machine.
2. ↑ R-Box

Bibliografía[editar]
 Information security management systems (2006). «Part 3: Guidelines for information
security risk management» (en inglés).