¿Qué es y por qué hacer un Análisis de Riesgos?


Como parte del Sistema de Gestión de Seguridad de la Información, es necesario para la empresa hacer una adecuada gestión de riesgos que le permita saber cuáles son las principales vulnerabilidades de sus activos de información y cuales son las amenazas que podrían explotar las vulnerabilidades. En la medida que la empresa tenga clara esta identificación de riesgos podrá establecer las medidas preventivas y correctivas viables que garanticen mayores niveles de seguridad en su información.





Son muchas las metodologías utilizadas para la gestión de riesgos, pero todas parten de un punto común: la identificación de activos de información, es decir todos aquellos recursos involucrados en la gestión de la información, que va desde datos y hardware hasta documentos escritos y el recurso humano. Sobre estos activos de información es que hace la identificación de las amenazas o riesgos y las vulnerabilidades

Una amenaza se puede definir entonces como un evento que puede afectar los activos de información y están relacionadas con el recurso humano, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser ataques informáticos externos, errores u omisiones del personal de la empresa, infecciones con malware, terremotos, tormentas eléctricas o sobrecargas en el fluido eléctrico. Por otra parte, una vulnerabilidad es una característica de un activo de información y que representa un riesgo para la seguridad de la información. Cuando se materializa una amenaza y hay una vulnerabilidad que pueda ser aprovechada hay una exposición a que se presente algún tipo de pérdida para la empresa. Por ejemplo el hecho de tener contraseñas débiles en los sistemas y que la red de datos no esté correctamente protegida puede ser aprovechado para los ataques informáticos externos.

Ahora, para que la empresa pueda tomar decisiones sobre cómo actuar ante los diferentes riesgos es necesario hacer una valoración para determinar cuáles son los más críticos para la empresa. Esta valoración suele hacerse en términos de la posibilidad de ocurrencia del riesgo y del impacto que tenga la materialización del riesgo. La valoración del impacto puede medirse en función de varios factores: la pérdida económica si es posible cuantificar la cantidad de dinero que se pierde, la reputación de la empresa dependiendo si el riesgo pueda afectar la imagen de la empresa en el mercado o de acuerdo al nivel de afectación por la pérdida o daño de la información.

En este punto se deberían tener identificados y valorados los principales riesgos que pueden afectar los activos de información de la empresa. Pero, ¿es suficiente con saber que puede pasar?. La respuesta es no. Una vez identificadas las amenazas, lo más importante del análisis de riesgos es la identificación de controles ya sea para mitigar la posibilidad de ocurrencia de la amenaza o para mitigar su impacto. Las medidas de control que puede asumir una empresa van a estar relacionadas con el tipo de amenaza y el nivel de exposición que represente para la información corporativa.

Una empresa puede afrontar un riesgo de cuatro formas diferentes: aceptarlo, transferirlo, mitigarlo o evitarlo. Si un riesgo no es lo suficientemente crítico para la empresa la medida de control puede ser Aceptarlo, es decir, ser consciente de que el riesgo existe y hacer un monitoreo sobre él. Si el riesgo representa una amenaza importante para la seguridad de la información se puede tomar la decisión de Transferir o Mitigar el riesgo. La primera opción está relacionada con tomar algún tipo de seguro que reduzca el monto de una eventual pérdida, y la segunda tiene que ver con la implementación de medidas preventivas o correctivas para reducir la posibilidad de ocurrencia o el impacto del riesgo. Finalmente si el nivel de riesgo es demasiado alto para que la empresa lo asuma, puede optar por Evitar el riesgo, eliminando los activos de información o la actividad asociada.

La gestión de riesgos debe garantizarle a la empresa la tranquilidad de tener identificados sus riesgos y los controles que le van a permitir actuar ante una eventual materialización o simplemente evitar que se presenten. Esta gestión debe mantener el equilibrio entre el costo que tiene una actividad de control, la importancia del activo de información para los procesos de la empresa y el nivel de criticidad del riesgo.

Fuente:
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research
http://blogs.eset-la.com/



Otras noticias de interés:

Nueva versión del Mydoom, esta vez MYDOOM.F
Nueva variante del Mydoom reportado en las últimas horas del 19 de febrero, que se propaga a través del correo electrónico y unidades de red compartidas. Utiliza asuntos, textos y nombres de adjuntos variables, y un remitente siempre falso, por lo...
Lista la versión 3 de la GNU General Public License
El texto final de la GPLv3 viene acompañada de un documento explicativo de los cambios introducidos al borrador. Bajo ella, se ofrece también, por primera vez de forma integrada, la Lesser GNU GPL....
Parchean una brecha en el kernel Linux
Ubuntu y Red Hat ya han solucionado la vulnerabilidad, y se espera que el resto de fabricantes de distros Linux lo haga pronto....
DoS en Internet Explorer producido por "Object Data"
Se ha reportado que Microsoft Internet Explorer es afectado por una vulnerabilidad del tipo denegación de servicio (DoS). La vulnerabilidad se presenta cuando el navegador maneja páginas Web embebidas utilizando la etiqueta HTML Object Data....
Las SSD pueden no ser seguras
Las unidades de almacenamiento en estado sólido, las conocidas SSD, son cada vez más populares y cada vez reemplazan más a los discos duros, especialmente en los portátiles. Sin embargo, los expertos advierten que no son tan seguras como se piens...
Mozilla refuerza verificación de certificados SSL en Firefox
Muchos de los cambios en la verificación de certificados de esta nueva librería son sutiles y están relacionados con los requisitos técnicos establecidos por la organización que reúne a las autoridades de certificación y proveedores de navegad...
GNU/Linux y un divorcio
Sí, definitivamente Linux ha roto la relación con mi querido ordenador, creo que debería mandar una carta a Linus y otra a Richard pidiéndoles daños y perjuicios....
Esto no sorprende de Micro$oft
Microsoft ha publicado un parche de actualización crítica para su recién liberado paquete Office 2003, presentado hace apenas 2 semanas, después de identificar un problema de compatibilidad con versiones anteriores de Office...
Seguridad en protocolos de mensajería
Pese al paso de los años y los nuevos conceptos que se van inventando, el chat mediante protocolos de mensajería sigue teniendo una amplia cuota de protagonismo en las actividades online. ...
Adobe propone el DNG RAW a la ISO
Según John Nack, jefe de producto de Photoshop en Adobe, el desarrollador ha enviado su formato de archivo DNG RAW a la ISO como propuesta de un nuevo estándar....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • analisis
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • riesgos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra