Análisis
de Riesgo
El
análisis de riesgo es un proceso sistemático para estimar la magnitud de los
riesgos a que está expuesta una organización o empresa.
Es
la identificación de las amenazas que acechan a los distintos componentes
pertenecientes o relacionados con un sistema de información (activos) para
determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el
impacto o grado de perjuicio que una seguridad insuficiente puede afectar a la
organización.
Acorde
al punto 5.4 de Magerit (España) es importante crear escenarios de ataque,
imaginar amenazas a los activos, pensar cómo un atacante se enfrentaría a
nuestros sistemas o activos.
Hay
que ponerse en la piel del atacante e imaginar qué haría con sus conocimientos
y recursos. Es importante plantear diferentes situaciones dependiendo del
perfil técnico del atacante o de sus recursos técnicos y humanos.
Estos
escenarios de ataque o dramatizaciones son importantes para evaluar impactos y
riesgos.
Los procesos de auditoría y análisis de riesgos son un componente clave
en la definición de seguridad de la información y seguridad informática. El
principal objetivo de un análisis de riesgo y programa de auditoría es
identificar los activos involucrados en la organización, sus metodologías y
procesos de estimar el riesgo asociado. De esta manera que usted puede proteger
la organización y la infraestructura no sólo. Un análisis de riesgo o de
auditoría es un proceso que debe ser mirado desde el punto de vista de la
administración de la organización y no sólo en el área de tecnologías de la
información, porque su alcance es mucho más amplio.
El análisis de riesgo o el proceso de auditoría busca identificar y
evaluar el riesgo y recomendar medidas de mitigación para reducir el riesgo a
niveles aceptables para la organización.
A través de un análisis de riesgo o de auditoría, las organizaciones
pueden obtener los siguientes beneficios:
• Mejoras significativas en la seguridad de sistemas de información,
almacenan, procesan y transmiten la información de la organización;
• Mejoras significativas en la aplicación y los procesos de gestión;
• Mayor y mejor control sobre los activos de la empresa;
• Permite una mejor gestión de riesgo organizacional;
• Permite la administración de una organización de hacer mejores
decisiones de inversión en seguridad de la información.
Los pasos para realizar un análisis de riesgos o auditoría son las
siguientes:
1. definición del alcance y el contexto organizacional;
2. identificación;
3. Cálculo de las estimaciones de riesgo;
4. riesgos;
5. Riesgo de controles comunicación y mitigación;
6. aplicación de los controles;
7. aceptación del riesgo.
Definición de sistema de gestión de seguridad de la información (SGSI del sistema de gestión de información seguridad)
¿Qué es un SGSI?
• Es un conjunto de políticas relacionadas con la seguridad de la información, que se basa en el modelo de mejora continua de la metodología PDCA (Plan--Check-Act).
2. identificación;
3. Cálculo de las estimaciones de riesgo;
4. riesgos;
5. Riesgo de controles comunicación y mitigación;
6. aplicación de los controles;
7. aceptación del riesgo.
Definición de sistema de gestión de seguridad de la información (SGSI del sistema de gestión de información seguridad)
¿Qué es un SGSI?
• Es un conjunto de políticas relacionadas con la seguridad de la información, que se basa en el modelo de mejora continua de la metodología PDCA (Plan--Check-Act).
ISMOS objetivas
• Tiene como principal objetivo mantener la eficacia y eficiencia de los
procesos y una infraestructura con el tiempo, manteniendo siempre las mismas
normas independientemente de versiones que existen internamente o externamente.
Un SGSI es definido por la metodología PDCA (Plan--Check-Act):
Plan:
el sorteo de los ismos, establecer su alcance declaración de
aplicabilidad (SoA);
el evaluar los activos y los riesgos de seguridad de información
(análisis de riesgos);
el realizar un plan de acción y seleccione las medidas apropiadas
(controles);
el análisis de brecha;
De:
la aplicación de los planes de acción (previamente definidos los
controles, medidas);
Verificación:
la realizan auditorías internas, validar las medidas controles
(controles) aplicado previamente;
Ley:
el analizar, verificar e implementar acciones correctivas y evolutiva
(si es necesario) para lograr la mejora continua.
Consideraciones
Jamás
olvide que en las empresas la seguridad comienza por dentro. Capacitando al
personal,creando normas basadas en standards, analizando brechas y puntos
ciegos en la seguridad lógica y en la seguridad de sistemas de información.
Es
fundamental la creación de escenarios de conflicto en forma continua
participando la gerencia de la empresa junto con un auditor en seguridad, a
partir de estos escenarios pueden lograrse medidas para evitar eventos de
seguridad.
Anticiparse
a los hechos
Imagínese
el peor escenario posible. Piense cómo evitarlo. Existen normas,
procedimientos,protocolos de seguridad existentes que pueden ayudar a crear y
basar (valga la redundancia) sus procedimientos internos para alejar la
posibilidad de riesgo.
Si
su empresa opera a través de internet o telecomunicaciones no olvide que es más
probable tener una fuga de información o problema interno de seguridad con su
personal a que un hacker intente vulnerar sus sistemas, el fraude interno está
a la orden del día.
Realice
periódicamente perfiles socioeconómicos de su personal, tenga entrevistas con
cada uno de sus empleados con una frecuencia trimestral contando con apoyo de
un profesional en psicología laboral con experiencia previa y capacitado en PNL
(nunca está de más que en estas entrevistas participe un auditor en seguridad,
el auditor debe ser capaz de percibir a un “insider”)
El
siguiente glosario es un compendio de términos técnicos de auditoria en seguridad
que le permitirá comprender diversos informes y graficar situaciones eventuales
en que su empresa podría verse comprometida.
No hay comentarios:
Publicar un comentario