¿Quién es el responsable del análisis de los riesgos y de la gestión de
los mismos? Por su parte la Gerencia de la Empresa concentra su atención en la confianza que el público tenga en su gestión y en el retorno de lo invertido. Siendo la Gerencia la máxima responsable por la seguridad y por el buen manejo de todos los riesgos, y la encargada de dar respuesta a los intereses de todas las partes, es por tanto la más interesada en la identificación, análisis y reducción de los riesgos. 2. ¿Cómo se lleva a cabo dicho análisis? Fase 1. Definir el alcance El primer paso a la hora de llevar a cabo el análisis de riesgos, es establecer el alcance del estudio. Vamos a considerar que este análisis de riesgos forma parte del Plan Director de Seguridad. Por lo tanto, recomendamos que el análisis de riesgos cubra la totalidad del alcance del PDS, dónde se han seleccionado las áreas estratégicas sobre las que mejorar la seguridad. Por otra parte, también es posible definir un alcance más limitado atendiendo a departamentos, procesos o sistemas. Por ejemplo, análisis de riesgos sobre los procesos del departamento Administración, análisis de riesgos sobre los procesos de producción y gestión de almacén o análisis de riesgos sobre los sistemas TIC relacionados con la página web de la empresa, etc. En este caso práctico consideramos que el alcance escogido para el análisis de riesgos es “Los servicios y sistemas del Departamento Informática”.
Fase 2. Identificar los activos
Una vez definido el alcance, debemos identificar los activos más importantes que guardan relación con el departamento, proceso, o sistema objeto del estudio. Para mantener un inventario de activos sencillo puede ser suficiente con hacer uso de una hoja de cálculo o tabla como la que se muestra a continuación a modo de ejemplo: Ejemplo de inventario de activos Fase 3. Identificar / seleccionar las amenazas Habiendo identificado los principales activos, el siguiente paso consiste en identificar las amenazas a las que estos están expuestos. Tal y como imaginamos, el conjunto de amenazas es amplio y diverso por lo que debemos hacer un esfuerzo en mantener un enfoque práctico y aplicado. Por ejemplo, si nuestra intención es evaluar el riesgo que corremos frente a la destrucción de nuestro servidor de ficheros, es conveniente, considerar las averías del servidor, la posibilidad de daños por agua (rotura de una cañería) o los daños por fuego, en lugar de plantearnos el riesgo de que el CPD sea destruido por un meteorito.
A la hora de identificar las amenazas, puede ser útil tomar como punto de partida el catálogo de amenazas que incluye la metodología MAGERIT v3.
Fase 4. Identificar vulnerabilidades y salvaguardas
La siguiente fase consiste en estudiar las características de nuestros activos para identificar puntos débiles o vulnerabilidades. Por ejemplo, una posible vulnerabilidad puede ser identificar un conjunto de ordenadores o servidores cuyo sistemas antivirus no están actualizados o una serie de activos para los que no existe soporte ni mantenimiento por parte del fabricante. Posteriormente, a la hora de evaluar el riesgo aplicaremos penalizaciones para reflejar las vulnerabilidades identificadas.
Imagen riesgos mitigacion escalada
Por otra parte, también analizaremos y documentaremos las medidas de
seguridad implantadas en nuestra organización. Por ejemplo, es posible que hayamos instalado un sistema SAI (Sistema de Alimentación Ininterrumpida) o un grupo electrógeno para abastecer de electricidad a los equipos del CPD. Ambas medidas de seguridad (también conocidas como salvaguardas) contribuyen a reducir el riesgo de las amenazas relacionadas con el corte de suministro eléctrico.
Estas consideraciones (vulnerabilidades y salvaguardas) debemos
tenerlas en cuenta cuando vayamos a estimar la probabilidad y el impacto como veremos en la siguiente fase.
Fase 5. Evaluar el riesgo
Llegado a este punto disponemos de los siguientes elementos: Inventario de activos. Conjunto de amenazas a las que está expuesta cada activo. Conjunto de vulnerabilidades asociadas a cada activo (si corresponde). Conjunto de medidas de seguridad implantadas Con esta información, nos encontramos en condiciones de calcular el riesgo. Para cada par activo-amenaza, estimaremos la probabilidad de que la amenaza se materialice y el impacto sobre el negocio que esto produciría. El cálculo de riesgo se puede realizar usando tanto criterios cuantitativos como cualitativos. Pero para entenderlo mejor, veremos a modo de ejemplo las tablas para estimar los factores probabilidad e impacto.
Tabla para el cálculo de la probabilidad
Tabla para el cálculo del impacto Tabla para el cálculo del impacto analisis de riesgos tabla calculo probabilidad Cálculo del riesgo A la hora de calcular el riesgo, si hemos optado por hacer el análisis cuantitativo, calcularemos multiplicando los factores probabilidad e impacto: RIESGO = PROBABILIDAD x IMPACTO. Si por el contrario hemos optado por el análisis cualitativo, haremos uso de una matriz de riesgo como la que se muestra a continuación:
Analisis de riesgo tabla cálculo del riesgo
Tal y como indicábamos en el apartado anterior, cuando vayamos a estimar la probabilidad y el impacto debemos tener en cuenta las vulnerabilidades y salvaguardas existentes. Por ejemplo, la caída del servidor principal podría tener un impacto alto para el negocio. Sin embargo, si existe una solución de alta disponibilidad (Ej. Servidores redundados), podemos considerar que el impacto será medio ya que estas medidas de seguridad harán que los procesos de negocio no se vean gravemente afectados por la caída del servidor. Si por el contrario hemos identificado vulnerabilidades asociadas al activo, aplicaremos una penalización a la hora de estimar el impacto. Por ejemplo, si los equipos de climatización del CPD no han recibido el mantenimiento recomendado por el fabricante, incrementaremos el impacto de amenazas como “condiciones ambientales inadecuadas” o “malfuncionamiento de los equipos debido a altas temperaturas”.
Fase 6. Tratar el riesgo
Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen un límite que nosotros mismos hayamos establecido. Por ejemplo, trataremos aquellos riesgos cuyo valor sea superior a “4” o superior a “Medio” en caso de que hayamos hecho el cálculo en términos cualitativos. A la hora de tratar el riesgo, existen cuatro estrategias principales:
Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que
cubra los daños a terceros ocasionados por fugas de información. Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está sujeto a un riesgo elevado. En el caso práctico que hemos expuesto, podríamos eliminar la wifi de cortesía para dar servicio a los clientes si no es estrictamente necesario. Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar un grupo electrógeno puede ser demasiado alto y por tanto, la organización puede optar por asumir. Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a internet de respaldo para poder acceder a los servicios en la nube en caso de que la línea principal haya caído. 3. ¿Cuáles son las herramientas y metodologías disponibles? Check-lists. Se trata de una manera simple de identificar los riesgos. ... SWIFT. ... Análisis de árbol de fallas. ... Diagrama causa-efecto. ... Análisis Modal de Fallos y Efectos (AMFE). ... Análisis funcional de operatividad (HAZOP). ... Análisis de capas de protección (LOPA). 4. ¿Cuál es el grado de fiabilidad de las mismas? Debido a que los objetivos referentes a la fiabilidad de la información y el cumplimiento de leyes y normas están dentro del control de la entidad, es esperable que la gestión de riesgos corporativos facilite el aseguramiento razonable de alcanzar estos objetivos, sin embargo el logro de objetivos estratégicos y operativos no siempre están dentro de control en la entidad, ya que se pueden ver afectados por eventos externos; por tanto, respecto a ellos, la gestión de riesgos corporativos puede proporcionar un aseguramiento razonable a la gerencia, y el consejo de administración en su papel de supervisión, dar a conocer de manera oportuna, el grado de progreso de la entidad hacia el logro de los objetivos. 5. ¿Qué importancia hay que otorgar a los resultados? ¿Cuál es su coste? otorgamiento de créditos, compra de activos, pagos máximos, etcétera). Las medidas de control interno para corregir desviaciones y/o de carácter preventivo 6. ¿Es necesario subcontratar esta función? En la actualidad las empresas tienen la opción de subcontratar la función de seguridad o de mantener su propio personal para este propósito. Esta tarea le ayudara a desarrollar sus habilidades de Internet en cuanto a usar el servidor Web para investigar y evaluar los servicios de subcontratación de seguridad 7. ¿Qué hay que proteger? Una evaluación integral del riesgo de seguridad de la información debería permitir a una empresa evaluar sus necesidades y riesgos de seguridad en el contexto de sus necesidades empresariales y organizativas. 8. ¿De quién debe uno protegerse? Básicamente, un riesgo puede causar daños o efectos adversos (a individuos como daños a la salud o a organizaciones como pérdidas de propiedades o equipo). "Riesgo" es la probabilidad o probabilidad de que una persona se vea perjudicada o experimente un efecto adverso para la salud si se expone a un peligro. También puede aplicarse a situaciones con pérdida de propiedad o equipo. 10.¿Cuáles son los riesgos realmente enfrentados? En esta primera fase de la metodología se identifican de forma sistemática las posibles causas concretas de los riesgos empresariales, así como los diversos y posibles efectos que debe afrontar el emprendedor. Una correcta identificación de riesgos requiere un conocimiento detallado de la empresa, del mercado en el que opera, del entorno legal, social, político y cultural que le rodea. La identificación del riesgo debe ser sistemática y empezar por identificar los objetivos clave de éxito y amenazas que puedan perturbar el logro de dichos objetivos. 11.¿Son soportables estos riesgos? el inconsciente tiende a minimizarlo para hacerlo soportable. Por lo tanto, es necesario establecer y fomentar la representación de estos riesgos importantes en los colectivos de trabajo. Existen medios para lograrlo:
las simulaciones de situaciones,
la realidad virtual, los relatos de los trabajadores de mayor antigüedad en la empresa, el intercambio de ideas en torno a los análisis de accidentes 12.¿Cuál es el nivel actual de seguridad de la empresa? Nivel D1: el sistema entero no es confiable y no cumple con ninguna especificación de seguridad. No hay protección de hardware ni autenticación de los usuarios. 13.¿Cuál es el nivel que se desea alcanzar? Nivel C1: se implementa un acceso de control discrecional y la identificación y autenticación de los usuarios. Se introduce así la distinción entre usuarios y administradores de sistema. Nivel C2: implementa una protección de acceso controlado y requiere una auditoría del sistema.
14.¿Cuáles son las restricciones efectivas?ç
las restricciones es una metodología que permite identificar aquella actividad dentro de un proceso de salud que determina la velocidad de toda la operación.
15. ¿Cuáles los medios disponibles? ¿Cómo aplicarlos?
Soluciones de seguridad Sistemas de ciberseguridad biométrica. ... Sistemas de análisis de tráfico de red en tiempo real. ... Firewalls o cortafuegos. ... Sistema de prevención de intrusiones IPS. ... Scanner de vulnerabilidades de aplicaciones Web. ... Antispam. ... Redes Virtuales Privadas (VPN) ... Hacking ético. Considerando los problemas de seguridad cotidianos de la mayor parte de las infraestructuras, sabiendo que sobran soluciones de seguridad y que el mercado de la seguridad se comporta satis-facticiamente, nos permitimos plantearnos las cuestiones para ser desarrollada de acuerdo a su criterio profesional: 1. ¿Están adaptadas las soluciones de seguridad a las necesidades? Las analíticas de vídeo de Grekkom se adaptan a necesidades concretas de cada empresa para mejorar sus soluciones de seguridad. Tal es así que Grekkom cuenta con soluciones específicas para diferentes sectores
2. ¿Están implantadas y gestionadas correctamente?
implantada, gestionada y controlada correctamente para que se convierta en real su probada y total contribución potencial a la consecución de los objetivos estratégicos, tácticos y operativos de la compañía.
3. ¿Pueden aplicarse y adaptarse a un entorno en constante cambio?
adaptarse a las distintas situaciones que del mismo proceso emergen. Dentro de estos ajustes siempre se analizan distintas opciones de respuesta, con el objetivo de seleccionar la más adecuada; no se basan en una única manera de plantear los problemas. 4. ¿Pueden atenuar el excesivo poder otorgado a los administradores de los sistemas? Factores internos, que dependen directamente de la administración propia y o capacidad de los ejecutivos de cada empresa Factores externos, que no dependen de la administración, tales como inflación, depreciaciones no previstas de la moneda local, desastres climáticos, etc. aquí aparecen como importante el estado de los equilibrios básicos macroeconómicos que comprometan la capacidad de pago de los prestatarios. 5. ¿Cómo pueden afrontar los problemas de seguridad cuyo origen debe buscarse en la negligencia, la incompetencia, los fallos de diseño, de implementación o de gestión de las tecnologías y soluciones de seguridad? La Seguridad y su gestión de riesgos forman parte de la planificación del evento dentro de los planes de Seguridad. Estos necesariamente incluyen los correspondientes de autoprotección, emergencia, comunicación y otros que se consideren oportunos.