Contenido del curso

Importancia de la seguridad de la información

Componentes clave de un programa de seguridad de la información

Gestión de riesgos

Continuidad del negocio

Software seguro

Diseño del equipo

Caso de estudio Platzi

19
Certificación ISO 27001: Implementación y Mejora Continua en Platzi
08:39 min

Tomar examen

Evaluación de Riesgos en Seguridad de la Información

Resumen

¿Qué es la evaluación de riesgos y por qué es crucial en la seguridad de la información?

La gestión de riesgos es un pilar fundamental en la seguridad de la información. La evaluación de riesgos, en particular, es una fase crítica que puede consumir tiempo, pero es esencial para identificar y mitigar amenazas potenciales. Un riesgo se define como la probabilidad de que una amenaza explote una vulnerabilidad, causando un impacto negativo en los activos de una organización. Para realizar una evaluación efectiva, es indispensable comprender el impacto potencial y la frecuencia o probabilidad de ocurrencia de tales riesgos.

¿Cuáles son los tipos de metodologías para la evaluación de riesgos?

Existen dos tipos principales de metodologías para realizar una evaluación de riesgos: cuantitativas y cualitativas.

Metodologías cuantitativas: Expresan el riesgo en términos monetarios. Aunque su cálculo es complejo, permite medir riesgos en cifras financieras. Un referente destacado es Maherit, que ofrece un método estructurado para cuantificar el riesgo.
Metodologías cualitativas: Se centran en expresar el riesgo en términos de impacto (alto, medio o bajo) y probabilidad. Un ejemplo notable es el NIST Special Publication 800-30, que proporciona un marco cualitativo ampliamente utilizado en la industria.

¿Cuáles son los pasos para la evaluación de riesgos?

Definición del alcance y objetivos:
- Determinar los procesos organizacionales que serán evaluados.
- Priorizar y comprender cómo los procesos interconectados pueden influenciarse mutuamente.
Identificación de los activos:
- Crear un inventario detallado de hardware, software, y entradas y salidas físicas de la organización.
- Documentar este inventario puede automatizarse con herramientas especializadas.
Categorización de activos:
- Evaluar la seguridad de los activos considerando la confidencialidad, integridad y disponibilidad.
- Utilizar la práctica de "marca de agua" (high water mark) para categorizar los sistemas según el valor más alto de riesgo identificado.
Evaluación de controles existentes:
- Identificar si existen controles que puedan mitigar el impacto y ajustar la evaluación de riesgo según estos.
Determinación de probabilidad e impacto:
- Consultar fuentes y reportes de seguridad para comprender la frecuencia de amenazas y exposición de activos.
Cálculo del riesgo:
- Utilizar matrices de calor o riesgo para cruzar los impactos y probabilidades evaluadas anteriormente.

¿Qué dicen los estándares internacionales sobre la evaluación de riesgos?

Normas como ISO 27000 no especifican una metodología única para la evaluación de riesgos, pero sí exigen que esta actividad se lleve a cabo. Esto permite que las organizaciones adapten las evaluaciones a su propia realidad y necesidades específicas, personalizando su enfoque según su contexto organizacional y recursos disponibles.

¿Cuáles son las opciones para el tratamiento de riesgos y su gestión?

Después de evaluar los riesgos, las organizaciones deben decidir cómo tratarlos. Las opciones incluyen:

Transferir el riesgo: Pasar la responsabilidad a un tercero (por ejemplo, mediante seguros).
Aceptar el riesgo: Asumir el riesgo si la probabilidad es baja y puede vivir con él.
Mitigar el riesgo: Implementar controles para reducir su impacto o probabilidad.
Evitar el riesgo: Cambiar procesos o actividades para eliminarlos por completo.

Finalmente, es crucial documentar y reportar los hallazgos con detalle a la alta gerencia para que tomen decisiones informadas y aseguren los recursos necesarios para implementar medidas de mitigación. Todo esto culmina en un plan de acción que conduzca a la gestión efectiva de riesgos dentro del marco de seguridad de la organización.

Eloy Chávez Dev

student•

Evaluación del Riesgo: Metodologías y Pasos Claves

Metodologías: Cuantitativas:

Magerit: Es una metodología española que permite calcular el riesgo de forma matemática.
FAIR: Es una metodología internacional que se basa en el análisis del impacto financiero del riesgo.

Cualitativas:

NIST 800-30: Es una metodología estadounidense que expresa el riesgo en niveles alto, medio o bajo.
ISO 27005: Es una norma internacional que proporciona una guía para la gestión del riesgo.

Pasos Claves:

1. Definir alcance y objetivos:

Alcance: El alcance de la evaluación del riesgo debe ser definido claramente. Esto incluye identificar los activos, sistemas y procesos que serán evaluados.
Objetivos: Los objetivos de la evaluación del riesgo deben ser específicos, medibles, alcanzables, relevantes y con un plazo de tiempo definido.

2. Identificar los activos:

Inventario: Se debe realizar un inventario detallado de todos los activos de la organización, incluyendo hardware, software, datos e información.
Accesos: Se deben identificar los accesos a los activos, tanto físicos como lógicos.
Descubrimiento: Se deben realizar actividades de descubrimiento para identificar activos que no se encuentran en el inventario.
Control de inventarios: Se debe implementar un sistema de control de inventarios para mantener actualizado el inventario de activos.
Categorización: Se deben categorizar los activos por su importancia y criticidad para la organización. Se puede utilizar la categorización FIPS 199 del NIST, que se basa en la confidencialidad, integridad y disponibilidad de los activos.

3. Identificar vulnerabilidades y amenazas:

Vulnerabilidades: Se deben identificar las vulnerabilidades de los activos, tanto internas como externas.
Amenazas: Se deben identificar las amenazas que pueden afectar a los activos, tanto naturales como intencionales.

4. Evaluar medidas de control:

Se deben evaluar las medidas de control existentes para mitigar el riesgo.
Se debe evaluar la eficacia de las medidas de control.

5. Determinar la probabilidad y el impacto:

Probabilidad: Se debe determinar la probabilidad de que ocurra una amenaza.
Impacto: Se debe determinar el impacto que una amenaza podría tener en un activo.

6. Calcular el Riesgo:

El riesgo se calcula multiplicando la probabilidad por el impacto.

7. Identificar opciones de tratamiento:

Se deben identificar opciones para tratar el riesgo, como aceptar el riesgo, mitigar el riesgo o transferir el riesgo.

8. Documentación y reporte:

La evaluación del riesgo debe ser documentada y reportada de forma clara y concisa.
El reporte debe incluir suficiente detalle para que la gerencia pueda tomar decisiones informadas sobre el riesgo.

9. Implementación de medidas:

Se deben implementar las medidas de tratamiento del riesgo que se hayan seleccionado.
Se debe realizar un seguimiento de la eficacia de las medidas de tratamiento del riesgo.

Javier Ramos

student•

Excelente resumen

Ricardo Abril

student•

Muchas gracias Eloy. Muy puntual y apropiado su aporte.

Importancia de la seguridad de la información

Implementación de un Programa de Seguridad de la Información

Seguridad de la Información: Implementación y Estrategia Empresarial

Componentes clave de un programa de seguridad de la información

Componentes Clave de un Programa de Seguridad de la Información

Elementos Clave de Políticas de Seguridad de la Información

Gestión de Incidentes: Ciclo de Vida y Mejores Prácticas

Gestión de Vulnerabilidades en Seguridad Informática

Gestión de riesgos

Gestión de Riesgos en Seguridad de la Información

Gestión Holística del Riesgo en Organizaciones