Evaluación de Riesgos en Seguridad de la Información

Clase 9 de 19Curso de Estrategia de Seguridad Informática para Empresas

Clase anteriorSiguiente clase

Resumen

¿Qué es la evaluación de riesgos y por qué es crucial en la seguridad de la información?

La gestión de riesgos es un pilar fundamental en la seguridad de la información. La evaluación de riesgos, en particular, es una fase crítica que puede consumir tiempo, pero es esencial para identificar y mitigar amenazas potenciales. Un riesgo se define como la probabilidad de que una amenaza explote una vulnerabilidad, causando un impacto negativo en los activos de una organización. Para realizar una evaluación efectiva, es indispensable comprender el impacto potencial y la frecuencia o probabilidad de ocurrencia de tales riesgos.

¿Cuáles son los tipos de metodologías para la evaluación de riesgos?

Existen dos tipos principales de metodologías para realizar una evaluación de riesgos: cuantitativas y cualitativas.

  • Metodologías cuantitativas: Expresan el riesgo en términos monetarios. Aunque su cálculo es complejo, permite medir riesgos en cifras financieras. Un referente destacado es Maherit, que ofrece un método estructurado para cuantificar el riesgo.

  • Metodologías cualitativas: Se centran en expresar el riesgo en términos de impacto (alto, medio o bajo) y probabilidad. Un ejemplo notable es el NIST Special Publication 800-30, que proporciona un marco cualitativo ampliamente utilizado en la industria.

¿Cuáles son los pasos para la evaluación de riesgos?

  1. Definición del alcance y objetivos:

    • Determinar los procesos organizacionales que serán evaluados.
    • Priorizar y comprender cómo los procesos interconectados pueden influenciarse mutuamente.

  2. Identificación de los activos:

    • Crear un inventario detallado de hardware, software, y entradas y salidas físicas de la organización.
    • Documentar este inventario puede automatizarse con herramientas especializadas.

  3. Categorización de activos:

    • Evaluar la seguridad de los activos considerando la confidencialidad, integridad y disponibilidad.
    • Utilizar la práctica de "marca de agua" (high water mark) para categorizar los sistemas según el valor más alto de riesgo identificado.

  4. Evaluación de controles existentes:

    • Identificar si existen controles que puedan mitigar el impacto y ajustar la evaluación de riesgo según estos.

  5. Determinación de probabilidad e impacto:

    • Consultar fuentes y reportes de seguridad para comprender la frecuencia de amenazas y exposición de activos.

  6. Cálculo del riesgo:

    • Utilizar matrices de calor o riesgo para cruzar los impactos y probabilidades evaluadas anteriormente.

¿Qué dicen los estándares internacionales sobre la evaluación de riesgos?

Normas como ISO 27000 no especifican una metodología única para la evaluación de riesgos, pero sí exigen que esta actividad se lleve a cabo. Esto permite que las organizaciones adapten las evaluaciones a su propia realidad y necesidades específicas, personalizando su enfoque según su contexto organizacional y recursos disponibles.

¿Cuáles son las opciones para el tratamiento de riesgos y su gestión?

Después de evaluar los riesgos, las organizaciones deben decidir cómo tratarlos. Las opciones incluyen:

  • Transferir el riesgo: Pasar la responsabilidad a un tercero (por ejemplo, mediante seguros).
  • Aceptar el riesgo: Asumir el riesgo si la probabilidad es baja y puede vivir con él.
  • Mitigar el riesgo: Implementar controles para reducir su impacto o probabilidad.
  • Evitar el riesgo: Cambiar procesos o actividades para eliminarlos por completo.

Finalmente, es crucial documentar y reportar los hallazgos con detalle a la alta gerencia para que tomen decisiones informadas y aseguren los recursos necesarios para implementar medidas de mitigación. Todo esto culmina en un plan de acción que conduzca a la gestión efectiva de riesgos dentro del marco de seguridad de la organización.