El análisis de riesgo, también conocido como evaluación de riesgo o PHA por sus siglas en inglés Process Hazards Analysis, es el estudio de las causas de las posibles amenazas, y los daños y consecuencias que éstas puedan producir.
Este tipo de análisis es ampliamente utilizado como herramienta de gestión en estudios financieros y de seguridad para identificar riesgos (métodos cualitativos) y otras para evaluar riesgos (generalmente de naturaleza cuantitativa).
El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente.
La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar.
Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.
Análisis de riesgo informático
Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a
una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que
se encuentra expuesta mediante la aplicación de controles.
una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que
se encuentra expuesta mediante la aplicación de controles.
Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura
de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad
de los recursos objetos de riesgo
de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad
de los recursos objetos de riesgo
Introducción
Los riesgos de seguridad de información deben ser considerados en el contexto del
negocio, y las interrelaciones con otras funciones de negocios, tales como recursos
humanos, desarrollo, producción, operaciones, administración, TI, finanzas, etcétera y los
clientes deben ser identificados para lograr una imagen global y completa de estos riesgos.
negocio, y las interrelaciones con otras funciones de negocios, tales como recursos
humanos, desarrollo, producción, operaciones, administración, TI, finanzas, etcétera y los
clientes deben ser identificados para lograr una imagen global y completa de estos riesgos.
Cada organización tiene una misión. En esta era digital, las organizaciones que utilizan
sistemas tecnológicos para automatizar sus procesos o información deben de estar
conscientes que la administración del riesgo informático juega un rol crítico.
sistemas tecnológicos para automatizar sus procesos o información deben de estar
conscientes que la administración del riesgo informático juega un rol crítico.
La meta principal de la administración del riesgo informático debería ser “proteger a la
organización y su habilidad de manejar su misión” no solamente la protección de los
elementos informáticos. Además, el proceso no solo debe de ser tratado como una
función técnica generada por los expertos en tecnología que operan y administran los
sistemas, sino como una función esencial de administración por parte de toda la organización.
organización y su habilidad de manejar su misión” no solamente la protección de los
elementos informáticos. Además, el proceso no solo debe de ser tratado como una
función técnica generada por los expertos en tecnología que operan y administran los
sistemas, sino como una función esencial de administración por parte de toda la organización.
Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad,
considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a
grandes rasgos que la administración de riesgos es el proceso de identificación, evaluación y
toma de decisiones para reducir el riesgo a un nivel aceptable.
considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a
grandes rasgos que la administración de riesgos es el proceso de identificación, evaluación y
toma de decisiones para reducir el riesgo a un nivel aceptable.
El análisis de riesgo informático es un elemento que forma parte del programa de gestión de
continuidad de negocio (Business Continuity Management)
continuidad de negocio (Business Continuity Management)
En el análisis de riesgo informático es necesario identificar si existen controles que ayudan
a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir,
la vulnerabilidad será de riesgo no controlado.
a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir,
la vulnerabilidad será de riesgo no controlado.
Dentro de la evaluación del riesgo es necesario realizar las siguientes acciones: Calcular el
impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el
riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de
forma cuantitativa (asignando pesos) ó de forma cualitativa (matriz de riesgos)
impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el
riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de
forma cuantitativa (asignando pesos) ó de forma cualitativa (matriz de riesgos)
Análisis de Riesgos Informáticos
El análisis de riesgos informáticos es un proceso que comprende la identificación de activos
informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así
como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los
controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así
como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los
controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce
como matriz de riesgo. En este documento se muestran los elementos identificados, la
manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es
indispensable para lograr una correcta administración del riesgo. La administración del riesgo
hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos
de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo,
evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo
total es: RT (Riesgo Total) = Probabilidad x Impacto Promedio A partir de esta fórmula
determinaremos su tratamiento y después de aplicar los controles podremos obtener el
Riesgo Residual.
como matriz de riesgo. En este documento se muestran los elementos identificados, la
manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es
indispensable para lograr una correcta administración del riesgo. La administración del riesgo
hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos
de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo,
evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo
total es: RT (Riesgo Total) = Probabilidad x Impacto Promedio A partir de esta fórmula
determinaremos su tratamiento y después de aplicar los controles podremos obtener el
Riesgo Residual.
Como se describe en el BS ISO / IEC 27001:2005, la evaluación del riesgo incluye las
siguientes acciones y actividades.
siguientes acciones y actividades.
- Identificación de los activos
- Identificación de los requisitos legales y de negocios que son relevantes para la
- identificación de los activos
- Valoración de los activos identificados
- Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una
- pérdida de confidencialidad, integridad y disponibilidad.
- Identificación de las amenazas y vulnerabilidades importantes para los activos
- identificados.
- Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
- Cálculo del riesgo.
- Evaluación de los riesgos frente a una escala de riesgo preestablecidos '
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los
riesgos residuales que se identificaron. Las acciones pueden ser:
riesgos residuales que se identificaron. Las acciones pueden ser:
- Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
- Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo.
- Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un
- tercero.
- Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se
- acepta.
Consideraciones
No se olvide que en las empresas la seguridad comienza por dentro. Capacitando al personal,
creando normas basadas en estándares, analizando brechas y puntos ciegos en la seguridad
lógica y en la seguridad de sistemas de información.
creando normas basadas en estándares, analizando brechas y puntos ciegos en la seguridad
lógica y en la seguridad de sistemas de información.
Es fundamental la creación de escenarios de conflicto en forma continua participando la
gerencia de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden
lograrse medidas para evitar eventos de seguridad.
gerencia de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden
lograrse medidas para evitar eventos de seguridad.
Elementos relacionados
- Activo. Es un objeto o recurso de valor empleado en una empresa u organización
- Amenaza. Es un evento que puede causar un incidente de seguridad en una empresa u
- organización produciendo pérdidas o daños potenciales en sus activos.
- Vulnerabilidad. Es una debilidad que puede ser explotada con la materialización de una o
- varias amenazas a un activo.
- Riesgo. Es la probabilidad de ocurrencia de un evento que puede ocasionar un daño
- potencial a servicios, recursos o sistemas de una empresa.
- Análisis. Examinar o descomponer un todo detallando cada uno de los elementos que lo
- forman a fin de terminar la relación entre sus principios y elementos.
- Control. Es un mecanismo de seguridad de prevención y corrección empleado para
- disminuir las vulnerabilidades
Proceso de Administración de Riesgo
Este proceso administración de riesgo es un proceso continuo dado que es necesario
evaluar periódicamente si los riesgos encontrados y si estos tienen una afectación, hay que
hacer calculo en las diferentes etapas del riesgo. La mecánica que se ve inversa el mayor
número de las organizaciones hoy en día es en el esfuerzo del día a día. Es por eso realizar
análisis de riesgo del proyecto referido al proyecto y el impacto futuro en la estructura de
riesgo de la organización.
evaluar periódicamente si los riesgos encontrados y si estos tienen una afectación, hay que
hacer calculo en las diferentes etapas del riesgo. La mecánica que se ve inversa el mayor
número de las organizaciones hoy en día es en el esfuerzo del día a día. Es por eso realizar
análisis de riesgo del proyecto referido al proyecto y el impacto futuro en la estructura de
riesgo de la organización.
Herramientas de apoyo
Existen varias herramientas en el mercado con las que se puede uno apoyar a la hora de
evaluar los riesgos, principalmente en el proceso de evaluación de los mismos. Una vez
terminado este proceso se debe documentar toda la información recabada para su análisis
posterior. La herramienta que debemos seleccionar debe contener al menos un módulo de
recolección de datos, de análisis de los mismos y otro de reportes. La importancia de un buen
análisis y una buena presentación de los datos analizados nos llevará a una efectiva
interpretación de la situación actual de los riesgos y por ende, la selección de los
controles que debemos implementar será la más acertada en el proceso de selección,
ahorrando costos en productos y costos de operación además del ahorro de tiempo.
evaluar los riesgos, principalmente en el proceso de evaluación de los mismos. Una vez
terminado este proceso se debe documentar toda la información recabada para su análisis
posterior. La herramienta que debemos seleccionar debe contener al menos un módulo de
recolección de datos, de análisis de los mismos y otro de reportes. La importancia de un buen
análisis y una buena presentación de los datos analizados nos llevará a una efectiva
interpretación de la situación actual de los riesgos y por ende, la selección de los
controles que debemos implementar será la más acertada en el proceso de selección,
ahorrando costos en productos y costos de operación además del ahorro de tiempo.
Regulaciones y Normas que tratan el riesgo
Comunicación “A” 4609 del BCRA para entidades Financieras • Requisitos mínimos de
gestión, implementación y control de los riesgos relacionados con tecnología informática y
sistemas de información.
gestión, implementación y control de los riesgos relacionados con tecnología informática y
sistemas de información.
ISO/IEC 27001 • Especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)
mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)
ISO/IEC 27005 • Esta Norma proporciona directrices para la Gestión del riesgo de Seguridad
de la Información en una Organización. Sin embargo, esta Norma no proporciona ninguna
metodología específica para el análisis y la gestión del riesgo de la
seguridad de la información.
de la Información en una Organización. Sin embargo, esta Norma no proporciona ninguna
metodología específica para el análisis y la gestión del riesgo de la
seguridad de la información.
Basilea II • Estándar internacional que sirva de referencia a los reguladores bancarios,
con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección
de las entidades frente a los riesgos financieros y operativos.
con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección
de las entidades frente a los riesgos financieros y operativos.
Ley Sarbanes Oxley (SOX) • Impulsada por el gobierno norteamericano como respuesta a
los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y
Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los
controles internos sobre reportes financieros.
los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y
Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los
controles internos sobre reportes financieros.
Metodologías de Análisis de Riesgos
Citicus One: software comercial de Citicus, implementa el método FIRM del Foro de Seguridad
de la Información; CRAMM: “CCTA Risk Assessment and Management Methodology” fue
originalmente desarrollado para uso del gobierno de UK pero ahora es propiedad de
Siemens; ISO TR 13335: fue el precursor de la ISO/IEC 27005; MAGERIT “Metodología de
Análisis y Gestión de Riesgos de los Sistemas de Información” está disponible tanto en
español como en inglés. OCTAVE: “Operationally Critical Threat, Asset, and Vulnerability
Evaluation” Metodología de Análisis y Gestión de Riesgos desarrollada por el CERT; NIST
SP 800-39 “Gestión de Riesgos de los Sistemas de Información, una perspectiva
organizacional”; NIST SP 800-30:
Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información, es gratuito;
Mehari: Método de Gestión y Análisis de Riesgos desarrollado por CLUSIF (Club de la
Sécurité de l'Information Français); AS/NZS: Norma de Gestión de Riesgos publicada
conjuntamente por Australia y Nueva Zelanda y ampliamente utilizada en todo el mundo.
de la Información; CRAMM: “CCTA Risk Assessment and Management Methodology” fue
originalmente desarrollado para uso del gobierno de UK pero ahora es propiedad de
Siemens; ISO TR 13335: fue el precursor de la ISO/IEC 27005; MAGERIT “Metodología de
Análisis y Gestión de Riesgos de los Sistemas de Información” está disponible tanto en
español como en inglés. OCTAVE: “Operationally Critical Threat, Asset, and Vulnerability
Evaluation” Metodología de Análisis y Gestión de Riesgos desarrollada por el CERT; NIST
SP 800-39 “Gestión de Riesgos de los Sistemas de Información, una perspectiva
organizacional”; NIST SP 800-30:
Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información, es gratuito;
Mehari: Método de Gestión y Análisis de Riesgos desarrollado por CLUSIF (Club de la
Sécurité de l'Information Français); AS/NZS: Norma de Gestión de Riesgos publicada
conjuntamente por Australia y Nueva Zelanda y ampliamente utilizada en todo el mundo.
No hay comentarios:
Publicar un comentario