La
dependencia actual de las organizaciones a las redes de datos, las hace más
vulnerables a los riesgos informáticos los cuales siempre están presentes, y
cada vez son mas sofisticados y eficaces.
Por esta razón se invierte en para preservar la integridad de la
información y las operaciones que
desarrollan las entidades.
La
afectación que sufran sus activos informáticos se traduce en pérdidas
económicas y retraso de las operaciones y afectación a la confianza del
negocio.
Esto
puede subsanarse o minimizarse a niveles aceptables con la implantación de Sistemas de Gestión de
Seguridad de la Información (SGSI). Los
cuales permitirán asegurar que tienen identificados sus activos de información
ante riesgos y se aplican las medidas básicas para protegerlos.
Para
gestionar los riesgos a los cuales están sometidos los activos de información
primero se deben identificarlos, lo cual es posible con una metodología y
herramientas para el análisis y evaluación de riesgos informáticos.
El
objetivo del análisis y evaluación de riesgos, es la identificación de los
riesgos basados en la identificación de sus activos, amenazas y
vulnerabilidades. El análisis de riesgos
es una herramienta que establecer la exposición real a los riesgos por parte de
una organización.
El
análisis de riesgos se realiza sobre un método matricial llamado Mapa de
Riesgos, con el cual se identifica la vulnerabilidad de un negocio o servicio a
riesgos típicos, sus pasos son:
- Definir los activos informáticos a analizar.
- Identificar las amenazas que pueden comprometer la seguridad de los activos.
- Determinar la probabilidad de ocurrencia de las amenazas.
- Determinar el impacto de las amenazas, con el objeto de establecer una priorización de las mismas.
- Recomendar controles que disminuyan la probabilidad de los riesgos.
- Documentar los procesos.
Los
métodos para realizar el análisis y evaluación de riesgos pueden ser
cuantitativos, cualitativos y semicuantitativos.
Métodos cualitativos.
Son
los métodos más utilizados, se puede utilizar cuando el nivel de riesgo sea
bajo y no se justifica el tiempo y recursos utilizados para hacer un análisis
completo.
Métodos
semicuantitativos.
Utilizan
clasificaciones de palabras como alto, medio o bajo, o descripciones mas
detalladas de la probabilidad y la consecuencia.
Métodos cuantitativos.
Permiten
asignar valores de ocurrencia a los diferentes riesgos identificados, entre
estos métodos se encuentra análisis de probabilidad, análisis de consecuencias,
simulación computacional.
El
resultado de este proceso se ilustra en una matriz de riesgo, que ilustra los
elementos identificados, sus relaciones y los cálculos realizados.
METODOLOGÍAS Y HERRAMIENTAS PARA ANÁLISIS
DE RIESGOS
Algunas
metodologías reconocidas para análisis y gestión de riesgos informáticos son:
ENISA
ENISA-SME
MAGERIT
EAR/Pilar
GxSGSI
ISO 27005
UNE-ISO 31000
BS
7799-3:2006
NIST SP
800-30
EBIOS
Bundesamt für Sicherheit in der Informationstechnik
CLUSIF-MEHARI
OCTAVE
RiskWatch
IRAM
Citicus ONE
FAIR
The IRM
Microsft
@RISK
COBRA
SNAS – BS7799-3
SNAS
CERO
Risk Mamangement Toolkit for the NSW Public Sector
No hay comentarios:
Publicar un comentario