La gestión de riesgos es un método para determinar, analizar, valorar y clasificar el riesgo para implementar mecanismos de control. Consiste en cuatro fases: análisis, clasificación, reducción y control. El objetivo es obtener una visión global de la organización y los riesgos asociados a sus procesos críticos para protegerlos.
2. Gestión de
Riesgos
Es un método para determinar, analizar, valorar y
clasificar el riesgo, para posteriormente implementar
mecanismos que permitan controlarlo.
La gestión del riesgo permite analizar procesos para
obtener una visión global de la organización y con
ello el apoyo requerido por parte de la alta gerencia
al mostrar la necesidad de proteger y gestionar
procesos críticos que afecten drásticamente a la
organización.
3. Gestión de Riesgos
Realiza un análisis de riesgos en el
entorno de las Tecnologías de la
Información y las Comunicaciones
(TIC) proporciona a las organizaciones
una visión de la situación, tanto por lo
que hace a nivel de protección de sus
sistemas de información, como por la
relación entre estos niveles y el coste
que representa para la organización.
De esta forma, la gestión del riesgo se
constituye como uno de los pilares
fundamentales que permite conocer de
manera detallada la infraestructura y su
funcionamiento interno, así como las
consecuencias de una eventual
vulnerabilidad o pérdida de servicio.
6. ANÁLISIS: DETERMINA LOS
COMPONENTES DE UN SISTEMA
QUE REQUIERE PROTECCIÓN,
SUS VULNERABILIDADES QUE
LO DEBILITAN Y LAS AMENAZAS
QUE LO PONEN EN PELIGRO,
CON EL RESULTADO DE
REVELAR SU GRADO DE
RIESGO.
CLASIFICACIÓN: DETERMINA
SI LOS RIESGOS
ENCONTRADOS Y LOS
RIESGOS RESTANTES SON
ACEPTABLES.
REDUCCIÓN: DEFINE E
IMPLEMENTA LAS MEDIDAS
DE PROTECCIÓN. ADEMÁS,
SENSIBILIZA Y CAPACITA LOS
USUARIOS CONFORME A LAS
MEDIDAS.
CONTROL: ANALIZA EL
FUNCIONAMIENTO, LA
EFECTIVIDAD Y EL
CUMPLIMIENTO DE LAS
MEDIDAS, PARA
DETERMINAR Y AJUSTAR
LAS MEDIDAS DEFICIENTES
Y SANCIONA EL
INCUMPLIMIENTO.
7. ANÁLISIS Y
GESTION DE
RIESGOS
Definir el Alcance
Identificar los Activos
Identificar las Amenazas
Identificar Vulnerabilidades
Identificar salvaguardas
Evaluar Riesgos
Tratar el Riesgos
10. MONITOREO DE LOS RIESGOS
Los riesgos son dinámicos y periódicamente la empresa revisará el valor de los activos,
impactos, amenazas, vulnerabilidades y probabilidades en busca de posibles cambios.
Por ello es necesaria una supervisión continua que detecte:
• Nuevos activos o modificaciones en el valor de los activos
• Nuevas amenazas
• Cambios o aparición de nuevas vulnerabilidades
• Aumento de las consecuencias o impactos
• Incidentes de seguridad de la información
11. MONITOREO
DE LOS
RIESGOS
De forma análoga se revisará el propio proceso de
gestión de riesgos para adecuarlo al contexto. Esta
revisión afecta entre otros a:
Las categorías de activos
Los criterios de evaluación de riesgos
Los niveles de clasificación de los impactos
Las escalas de aceptación de riesgos
Los recursos necesarios
12. COMUNICACIÓN
DE LOS RIESGOS
Durante todo el proceso las acciones de comunicación
se sucederán para mantener informada a la
Dirección y a la plantilla. Igualmente se recibirá
información de los procesos y los interesados, y se
podrá constituir un “comité de crisis” que coordine y
asuma la responsabilidad en caso de tener que
enfrentarse a un incidente de seguridad informático.
13. COMUNICACIÓN
DE LOS RIESGOS
Estas acciones de comunicación son importantes
para:
• Identificar
• Valorarlos
• Comprender
• Establecer
• Informar y contribuir
• Monitorizar
• Revisar
• Concienciar a la plantilla y a la dirección
14. VALOR
INTRINSECO
El valor intrínseco, precio teórico o valor fundamental
de un activo, es el valor que se obtiene teniendo en
cuenta todos los componentes que rodean a un
activo, incluyendo elementos tangibles e intangibles.
La evaluación de costos más ampliamente
aceptada consiste en cuantificar los daños que
cada posible vulnerabilidad puede causar.
15. VALOR INTRINSECO
En la evaluación del riesgo el impacto nos indica las consecuencias
de la materialización de una amenaza. El nivel de riesgo es una
estimación de lo que puede ocurrir y se valora, de forma cuantitativa,
como el producto del impacto, (consecuencia), asociado a una
amenaza (suceso), por la probabilidad de la misma.
17. Deben considerarse
elementos como:
Información aparentemente inocua
como datos personales, que pueden
permitir a alguien suplantar
identidades.
Datos confidenciales de acuerdos y
contratos que un atacante podría
usar para su beneficio.
Tiempos necesarios para obtener
ciertos bienes. Un atacante podría
acceder a ellos para ahorrarse el
costo (y tiempo) necesario para su
desarrollo.
19. Identificando
medidas de
reducción de
riesgos
La reducción de riesgo se logra a través de la implementación de
medidas de protección, que se basen en los resultados del análisis
y de la clasificación de riesgo. Las medidas de reducción se
categorizan en tres tipos:
Medidas físicas y técnicas
- Construcciones de edificios, controles de acceso, planta eléctrica,
antivirus, datos cifrados, contraseñas inteligentes, etc.
Medidas personales
- Contratación, capacitación, sensibilización, etc.
Medidas organizativas
- Normas y reglas, seguimiento de control, auditoria, etc.
20. En la planeación de medidas de protección para la
reducción de riesgos debemos tomar en cuenta
que dichas medidas deben ser consecuentes con los
siguientes parámetros:
Medidas dependiendo del grado del riesgo
- Medio riesgo: Medidas parciales para mitigar daño.
- Alto riesgo: Medidas exhaustivas para evitar dalo.
Verificación de funcionalidad
- Respaldo por coordinación
- Esfuerzo adicional y costos vs Eficiencia
- Evitar medidas pesadas o molestas
Fundamento en normas y reglas
- Actividades, frecuencia y responsabilidades
- Publicación
Identificando
medidas de
reducción de
riesgos
21. Revisar
medidas de
Seguridad
De cara a validar las medidas implementadas o que se desean implementar las
organizaciones se valen de los estándares y normas para que dichas medidas sean
eficientes y eficaces, ejemplo de dichos estándares son:
ISO/IEC 27000 que integran un sistema de administración de seguridad de
la información (information security management system ISMS) el cual
está enfocado en la seguridad de la información bajo un explícito control
administrativo de la misma.
ISO 15408 es un estándar desarrollado en lo que se conoce como
“Criterio Común” y que permite que muchas diferentes aplicaciones de
software puedan ser integradas y probadas en una forma o manera
segura.
RFC 2196 es memorándum publicado por el Internet Engineering Task
Force para el desarrollo de políticas y procedimientos de seguridad para
sistemas de información conectados a Internet; proporciona una amplia
y general visión de la seguridad de la información incluyendo la
seguridad de la red, respuesta a incidentes o las políticas de seguridad.
El documento es muy práctico y centrado en el día a día de las
operaciones.
Entre otros
22. Revisar
medidas de
Seguridad
Luego de la implementación de los estándares y normas de la seguridad
informática, podemos señalar algunas de las medidas que hoy en día forman
parte de las buenas prácticas:
1. Implementación de políticas de seguridad
2. Copias de Seguridad
3. Protección antimalware
4. Actualización permanente de equipos y dispositivos
5. Protección de la red corporativa
6. Protección de dispositivos móviles y equipos personales
7. Blindar la red inalámbrica (WIFI)
8. Gestión de soporte de almacenamiento
9. Monitorización y registro de la actividad
10. Cultura de ciberseguridad