8.4- Analisis de Riesgo
Es una medida que busca rastrear vulnerabilidades en los activos que puedan ser explotados por amenazas. El análisis de riesgos tiene como resultado un grupo de recomendaciones para la corrección de los activos para que los mismos puedan ser protegidos.
Es un paso importante para implementar la seguridad de la información. Como su propio nombre lo indica, es realizado para detectar los riesgos a los cuales están sometidos los activos de una organización, es decir, para saber cuál es la probabilidad de que las amenazas se concreten.
Las amenazas se pueden convertir en realidad a través de fallas de seguridad, que conocemos como vulnerabilidades y que deben ser eliminadas al máximo para que el ambiente que se desea proteger esté libre de riesgos de incidentes de seguridad.
Por lo tanto, la relación entre amenaza-hecho-impacto, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.
Esquema de la relación: amenaza-incidente-impacto
Actividad centrada en la identificación de fallas de seguridad que evidencien vulnerabilidades que puedan ser explotadas por amenazas, provocando impactos en los negocios de la organización.
Actividad de análisis que pretende, a través del rastreo, identificar los riesgos a los cuales los activos se encuentran expuestos.
Resultados
- Encontrar la consolidación de las vulnerabilidades para identificar los pasos a seguir para su corrección.
- Identificar las amenazas que pueden explotar esas vulnerabilidades y de esta manera se puede llegar a su corrección o eliminación.
- Identificar los impactos potenciales que pudieran tener los incidentes y de esta forma aprovechar las vulnerabilidades encontradas.
- Determinar las recomendaciones para que las amenazas sean corregidas o reducidas.
Al igual que el mantenimiento el Análisis de Riesgo puede ser:
- Preventivo: buscando evitar el surgimiento de nuevos puntos débiles y amenazas;
- Perceptivo: orientado hacia la revelación de actos que pongan en riesgo la información
- Correctivo: orientado hacia la corrección de los problemas de seguridad conforme su ocurrencia.
Otro punto importante a considerar en la realización del análisis de riesgos es la relación costo-beneficio, se aplicará si los beneficios son mayores que los costos que se incurrirá para aplicar las medidas. Este cálculo permite que sean evaluadas las medidas de seguridad con relación a su aplicabilidad y el beneficio que se agregará al negocio.
Ámbitos del Análisis de Riesgos
El análisis de riesgos puede ser realizado en distintos ámbitos. Por lo general, todos son considerados, puesto que la implementación de seguridad pretende corregir el entorno en que se encuentra la información, es decir en actividades relacionadas a: generación tránsito, procesamiento, almacenamiento, etc.
Ámbito | Descripción | Aspectos por analizar |
---|---|---|
Tecnológico | El análisis de riesgos realizado en el entorno tecnológico pretende el conocimiento de las configuraciones y de la disposición topológica de los activos de tecnología que componen toda la infraestructura de respaldo de la información para comunicación, procesamiento, tránsito y almacenamiento. | Los activos son de tipo aplicación y equipo, sin dejar de considerar también la sensibilidad de las informaciones que son manipulados por ellos. Los usuarios que los utilizan. La infraestructura que les ofrece respaldo. |
Humano | El análisis de riesgos también se destina a la comprensión de las maneras en que las personas se relacionan con los activos. | Así, es posible detectar cuáles vulnerabilidades provenientes de acciones humanas, se encuentran sometidos los activos, y es posible dirigir recomendaciones para mejorar la seguridad en el trabajo humano y garantizar la continuidad de los negocios de la organización. Este análisis pretende inicialmente identificar vulnerabilidades en los activos de tipo usuario y organización. El nivel de acceso que las personas tienen en la red o en las aplicaciones. Las restricciones y permisos que deben tener para realizar sus tareas con los activos. El nivel de capacitación y formación educativa que necesitan tener acceso para manipularlos, etc. |
Procesos | Análisis de los flujos de información de la organización y la manera en que la información transita de un área a otra, cómo son administrados los recursos en relación a la organización y manutención. De esta manera, será posible identificar los eslabones entre las actividades y los insumos necesarios para su realización con el objetivo de identificar las vulnerabilidades que puedan afectar la confidencialidad, la disponibilidad y la integridad de la información y en consecuencia, del negocio de la organización. En este ámbito, el activo de enfoque principal es del tipo usuario e información. | Identificar a las personas involucradas en el flujo de información, es posible evaluar la necesidad real de acceso que ellas tienen a los activos. Evaluar el impacto proveniente del uso indebido de la información por personas no calificadas. |
Físico | El análisis físico de seguridad pretende identificar en la infraestructura física del ambiente en que los activos encuentran vulnerabilidades que puedan traer algún perjuicio a la información y a todos los demás activos. El enfoque principal de este ámbito de análisis son los activos de tipo organización, pues son los que proveen el soporte físico al entorno en que está siendo manipulada la información. | Identificar posibles fallas en la localización física de los activos tecnológicos. Evaluar el impacto de accesos indebidos a las áreas en donde se encuentran activos tecnológicos. Evaluar el impacto de desastres ambientales en la infraestructura de tecnología de la empresa. |
Enlaces Relacionados
- RSA, división de seguridad de EMC, presentó resultados entre la relación de la seguridad de la información y la innovación en los negocios. Revelando que el riesgo de la seguridad TI es un inhibidor significativo en la innovación.
- Las organizaciones creen que crear un entorno ideal para la innovación es crítico para estar por delante de la competencia. Sin embargo, los encuestados revelan que a pesar de sus mejores intenciones, el riesgo de la seguridad de la información está impidiendo la innovación de los negocios.
- Cualquier innovación en el negocio conlleva de forma inherente algún nivel de riesgo de la información, La seguridad debe moverse de solo mitigar el riesgo y maximizar las recompensas al negocio
- Recomendaciones para cambiar la forma de pensar y comportamiento de la organización:
- Mover el enfoque de ?Seguridad de la Información? a ?Gestión del Riesgo de la Información? para señalar que el objetivo es alcanzar un nivel de riesgo aceptable.
- Enfoque que involucre a toda la organización para entender y formalizar la tolerancia al riesgo.
- Construir un modelo de asunción de riesgo para delinear donde y en quien reside la responsabilidad de la toma de decisiones en cuanto al riesgo.
- Crear un proceso repetible paso a paso para hacer cálculos de riesgo/beneficio, asegurarando que se difunda y que se utilce. (DiarioTI, 2008)
- Las organizaciones creen que crear un entorno ideal para la innovación es crítico para estar por delante de la competencia. Sin embargo, los encuestados revelan que a pesar de sus mejores intenciones, el riesgo de la seguridad de la información está impidiendo la innovación de los negocios.
- Vale la pena el Análisis de Riesgo ( Adrían Palma, Blog-Segu-Info.Com.Ar, 28/dic/2008)
3 comentarios
paty -
tema 07: Keyboard
new jordan 2011 -
http://www.cheapjordans2011.net/
Microcaso: Seguridad en Bade de Datos -