Gestión de Riesgos de Seguridad de la Información

Clase 10 de 25Curso de DLP: Prevención de Pérdida de Datos

Clase anteriorSiguiente clase

Los riesgos de seguridad de la información se deben identificar basados en las vulnerabilidades y amenazas y afectar al activo de información sobre el cual se está haciendo la identificación.

Por Vulnerabilidad entendemos; aquellas debilidades, condiciones o factores que tenemos o que no tenemos, o que No controlamos y cuya explotación puede implicar una amenaza.

Por Amenaza entendemos que es una causa potencial de un incidente no deseado, la cual que puede ocasionar daño a un sistema u organización, es decir, la posible causa de la materialización de un riesgo (ISO 270001:2018).

Por riesgo entendemos lo que le puede ocurrir, el daño que se puede causar si se explota una amenaza.

En este punto es importante considerar que la sola presencia de una vulnerabilidad no causa daños por sí misma, dado que es necesario que exista una amenaza presente para explotarla. En ese sentido, en la definición de riesgos se debe considerar que cada tipo de activo puede llegar a verse afectado por diferentes tipos de riesgos, todos los cuales la organización debe identificar y gestionar.

A continuación, se relacionan ejemplos de riesgos con sus respectivas amenazas y vulnerabilidades de acuerdo al tipo de activos.

Screen Shot 2019-07-15 at 11.22.47 AM.png Fuente: Modelo de Gestión de Riesgos de Seguridad MGRS – MINTIC Colombia

De acuerdo con el MGRS de Colombia, para la identificación de riesgos se pueden utilizar diferentes metodologías como lluvia de ideas, análisis de escenarios y contexto histórico, entrevistas, encuestas, y listas de chequeo, así mismo se puede tener en cuenta la siguiente clasificación definida por el Departamento Administrativo de la Función pública:

Screen Shot 2019-07-15 at 11.23.38 AM.png

Gestión de incidentes de seguridad de la información

Una vez realizada la Identificación de riesgos debe procederse a su valoración, para definir los tipos de control y la forma como se deben gestionar los incidentes de seguridad.

Para ello se debe valorar del riesgo inherente (riesgo propio del negocio) de todos los activos e identificarse la probabilidad de ocurrencia y el impacto asociado a las variables Confidencialidad, Integridad y Disponibilidad.

Conforme a lo anterior, por cada riesgo inherente identificado, se deben establecer los controles asociados para su gestión o mitigación, determinando las acciones y actividades a ejecutar y características deseadas del mismo, es decir, se debe establecer si el control disminuye el nivel de riesgo, o lo desplaza en el mapa de calor.

Respecto de las metodologías que se pueden implementar para hacer una adecuada gestión de incidentes de seguridad ver: