martes, 25 de marzo de 2014

EVALUACIÓN DE RIESGOS



La dependencia actual de las organizaciones a las redes de datos, las hace más vulnerables a los riesgos informáticos los cuales siempre están presentes, y cada vez son mas sofisticados y eficaces.  Por esta razón se invierte en para preservar la integridad de la información y las operaciones que  desarrollan las entidades.

La afectación que sufran sus activos informáticos se traduce en pérdidas económicas y retraso de las operaciones y afectación a la confianza del negocio.

Esto puede subsanarse o minimizarse a niveles aceptables  con la implantación de Sistemas de Gestión de Seguridad de la Información  (SGSI). Los cuales permitirán asegurar que tienen identificados sus activos de información ante riesgos y se aplican las medidas básicas para protegerlos.

Para gestionar los riesgos a los cuales están sometidos los activos de información primero se deben identificarlos, lo cual es posible con una metodología y herramientas para el análisis y evaluación de riesgos informáticos.

El objetivo del análisis y evaluación de riesgos, es la identificación de los riesgos basados en la identificación de sus activos, amenazas y vulnerabilidades.  El análisis de riesgos es una herramienta que establecer la exposición real a los riesgos por parte de una organización.

El análisis de riesgos se realiza sobre un método matricial llamado Mapa de Riesgos, con el cual se identifica la vulnerabilidad de un negocio o servicio a riesgos típicos, sus pasos son:

  • Definir los activos informáticos a analizar.
  • Identificar las amenazas que pueden comprometer la seguridad de los activos.
  • Determinar la probabilidad de ocurrencia de las amenazas.
  • Determinar el impacto de las amenazas, con el objeto de establecer una priorización de las mismas.
  • Recomendar controles que disminuyan la probabilidad de los riesgos.
  • Documentar los procesos.
Los métodos para realizar el análisis y evaluación de riesgos pueden ser cuantitativos, cualitativos y semicuantitativos.

Métodos cualitativos.
Son los métodos más utilizados, se puede utilizar cuando el nivel de riesgo sea bajo y no se justifica el tiempo y recursos utilizados para hacer un análisis completo.

Métodos semicuantitativos.
Utilizan clasificaciones de palabras como alto, medio o bajo, o descripciones mas detalladas de la probabilidad y la consecuencia.

Métodos cuantitativos.
Permiten asignar valores de ocurrencia a los diferentes riesgos identificados, entre estos métodos se encuentra análisis de probabilidad, análisis de consecuencias, simulación computacional.

El resultado de este proceso se ilustra en una matriz de riesgo, que ilustra los elementos identificados, sus relaciones y los cálculos realizados.

METODOLOGÍAS Y HERRAMIENTAS PARA ANÁLISIS DE RIESGOS

Algunas metodologías reconocidas para análisis y gestión de riesgos informáticos son:

ENISA
ENISA-SME
MAGERIT
EAR/Pilar
GxSGSI
ISO 27005
UNE-ISO 31000
BS 7799-3:2006
NIST SP 800-30
EBIOS
Bundesamt für Sicherheit in der Informationstechnik
CLUSIF-MEHARI
OCTAVE
RiskWatch
IRAM
Citicus ONE
FAIR
The IRM
Microsft
@RISK
COBRA
SNAS – BS7799-3
SNAS
CERO
Risk Mamangement Toolkit for the NSW Public Sector
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)