Usuario:Grupo novenoD/Taller

De Wikipedia, la enciclopedia libre

Gestión del riesgo en las TI[editar]

Es el desarrollo para identificar, analizar y generar respuestas a factores de riesgo[1]​ a lo largo de la vida de un proyecto sus intereses. La gestión de riesgos [2]​adecuada implica el control de posibles eventos futuros. Muchas veces, el riesgo está en el ambiente, siendo necesario implementar correctivos para identificarlo; en otras situaciones el riesgo es resultado de acciones inesperadas que escapan del control del ser humano, como en caso de eventos de causas naturales.

Actualmente podemos comprobar en medios digitales en las publicaciones de las más diversas áreas que resaltan, enfatizando, los inconvenientes relacionados a los riesgos tecnológicos[3]​ de seguridad de la información: robos de los medios de backup y de notebooks, fuga o robo de números de tarjetas de crédito, manipulación indebida[4]​ de registros electrónicos, robo de identidad y violación de propiedad intelectual.

Tendencias en el área de la gestión del riesgo[editar]

Hoy en día las Tecnologías de la Información y Comunicaciones, TIC, son esencial en las organizaciones ya que implican altos costos para su infraestructura y soporte, además de acompañar a enormes riesgos de seguridad. La información es un activo de vital importancia para el éxito y la prolongación en el mercado de cualquier organización.

Las organizaciones exponen falencias en el manejo y aseguramiento de la información y en efecto de los sistemas que la procesan. Todas las organizaciones se afrontan a[5]​ factores internos y externos que producen incertidumbre sobre si serán capaces de alcanzar los niveles de riesgo y es inherente a todas las actividades, la seguridad incondicional no existe, pero se trata de minimizar y priorizar el riesgo a niveles asumibles, la seguridad de la información desde el enfoque de la gestión del riesgo implica identificar, evaluar y controlar los riesgos en la organización.

El riesgo cero no existe aproximadamente en ningún caso, pero las organizaciones reclama un proceso de seguridad[6]​ de la información desde el enfoque de la gestión del riesgo, una apreciación del riesgo exhaustiva y conveniente en la organización tiene como resultado la reducción de pérdida, hurto o soborno de la información. La gestión del riesgo evalúa el daño resultante de una falla y la posibilidad de ocurrencia, estima el nivel de riesgo resultante y especificar si el riesgo es aceptable o requiere de un tratamiento.

Las entidades de estandarización ofrecen a las organizaciones una serie de reglamentos sobre las mejores prácticas de seguridad[7]​, aunque existe un grupo de herramientas, estándares, buenas prácticas por si solas que son difíciles y no presentan una infraestructura a los diferentes elementos de la organización ni la manera como éstas se pueden incorporar, es por ello, que se determina una metodología de gestión del riesgo que aborda esta tarea de una forma metódica, documentada y basada en objetivos claros de seguridad de la información, estructurada con indicaciones que llevan a cabo una guía de procesos que permiten distinguir las amenazas, evalúan las vulnerabilidades y probabilidades de ocurrencia y analizan los impactos, presentando un plan de contingencia adecuado.

Las técnicas de valoración del riesgo[8]​ implican un conjunto estructurado de principios y normas, una metodología que describe métodos específicos constituyendo un marco genérico de la gestión. La evaluación especifica un balance del riesgo es un requisito obligatorio en la gestión de la seguridad.

Principios de la gestión del riesgo[editar]

Crear Valor: lo cual permite alcanzar los objetivos de la empresa ya sea de la índole de Seguridad o de cualquier otra.

Estar integrada en los procesos de la organización: la gestión de Riesgos nunca debe considerarse como una práctica aislada sino que debe formar parte de las actividades y procesos que realiza la empresa.

Está presente en el proceso de toma de decisiones: de forma que facilite la selección de las distintas alternativas.

Trata explícitamente la incertidumbre: las dificultades que se presentan a las empresas así como los aspectos inciertos de las tomas de decisiones, deben ser tratados por la gestión de riesgos para tratar de conocer el origen de la incertidumbre y como se puede tratar.

Es sistemática y estructurada: la gestión de Riesgos contribuye a la eficiencia y por tanto a la obtención de resultados  confiables.

Se basa en la mejor información de la que se dispone: la gestión de Riesgos debe realizarse teniendo en cuenta la opinión del personal especializado y con experiencia, debe basarse en la observación, en la previsión y la experiencia.

Se adapta a circunstancias locales y específicas: existe una perfecta coordinación entre las necesidades del sector concreto al que pertenece la empresa y la gestión de riesgos.

Valora los factores humanos y culturales: identifica toda percepción de las partes implicadas faciliten o entorpezcan la labor de la empresa.

Es transparente e inclusiva: la gestión de Riesgos debe basarse en la comunicación de las partes implicadas y tenerlas en cuenta a la hora de tratar los riesgos.

Es dinámica, iterativa y sensible al cambio: puede conllevar cambios en la empresa, la labor de asegurarse de que esto ocurra es responsabilidad de la organización.

Facilita la mejora continua a de la organización: es fundamental que la empresa desarrolle un constante proceso de mejora continua.

Contexto De La Gestión Del Riesgo[editar]

Procesos De Gestión Del Riesgo De Seguridad De La Información[9]

En el primer tema se presentó el enfoque general del proceso de gestión de riesgo. Es forzoso que la comprensión de la cadena de las fases del asunto haga pieza del día a día de los profesionales que intervienen en la gestión del riesgo.

Para efectuar esta actividad, los profesionales deberán poseer acceso a toda la información referente a la institución, permitiendo en consecuencia una extensa comprensión acerca de las especificaciones de la institución.

Contexto[editar]

Es ineludible comprender el significado conceptual de “contexto” y su función en la gestión del riesgo. En la investigación de su significado en los diccionarios, se encuentra, entre otras definiciones, que contexto es un sustantivo masculino, que significa “interrelación de las circunstancias que acompañan a un hecho o una situación.”

También, al referirnos al “contexto” queremos en realidad familiarizarse la totalidad de las circunstancias que hacen que sea viable, condicionan o establecen la elaboración de un texto[10]​, proyecto, actividad o inclusive un evento de seguridad[11]​. En otras palabras, contexto es el conjunto de circunstancias que se relacionan de algún modo con un determinado suceso. Es la situación general o el ambiente a que está siendo referido a un determinado argumento.

Ítems Para La Identificación[editar]

Al analizar el ambiente de la organización, el equipo de analistas debe identificar los elementos que caracterizan a la organización[12]​ y contribuyen a su desarrollo. El análisis de la organización debe contener al menos los siguientes ítems.

Ítems para la identificación Ítems para la identificación
El objetivo principal de la organización ¿Cuál es el propósito de la organización?[13]​ ¿Cuáles son sus objetivos[13]​?
El Negocio ¿Cuál es su negocio? ¿Cuál es el propósito de lo que se produce/desarrollado?
La misión ¿Cuál es su misión? ¿Para que existe? ¿Lo que ella se propone a hacer? ¿Para quién?
La visión de futuro ¿Cuál es su visión del futuro? ¿Qué se espera de ella en el tiempo?
Los valores ¿Cuáles son sus valores? ¿Cómo se muestran?
La estructura organizacional ¿Cómo está organizada y estructurada? ¿Y la seguridad de la información? ¿Y las responsabilidades por la seguridad?
El organigrama ¿Cuál es su organigrama? ¿Quién es quién en el sector que trabaja? ¿Hay zona de seguridad de la información?
Las estrategias ¿Cuáles son sus principales estrategias de negocios? ¿Y de seguridad de la información?
Los productos ¿Cuáles son sus productos? ¿Cuál es el principal producto de apalancamiento de los negocios?
Los socios ¿Quiénes son sus socios? ¿Cómo se eligen? ¿Cómo colaboran? ¿Cómo es la relación de la seguridad de la información a ellos? ¿Cuáles son las obligaciones de seguridad de la información?
Los terceros ¿Quién son los terceros? ¿Cómo se eligen? ¿Cómo colaboran? ¿Cómo es la relación de la seguridad de la información con ellos? ¿Cómo es el contrato? ¿Cuáles son las obligaciones de seguridad de la información?
Las instalaciones ¿Cómo se divide el personal de la organización? ¿Dónde están los servidores? ¿Existe algún mecanismo para prevenir un incendio? ¿Cómo es hecha la protección física? ¿Cómo son los accesos?
Los funcionarios ¿Cómo son contratados? ¿Hay capacitación en seguridad de la información? ¿Cómo se contratan?

Proceso de análisis del riesgo de seguridad de la información.[14][editar]

La etapa del proceso de análisis del riesgo es un proceso donde  identifica, evalúa los activos, amenazas[15]​ y vulnerabilidades, está compuesta por los siguientes pasos:

Identificación del riesgo: son los eventos determinados que pueden causar considerables pérdidas.

Análisis del riesgo: es un proceso donde se  determina la posibilidad de ocurrencia de los eventos.

Evaluación del riesgo: clasifica y ordena los riesgos de acuerdo con los criterios de evaluación establecidos en la definición de contexto.

Identificación del riesgo[editar]

La identificación del riesgo se realiza para identificar y determinar los posibles eventos con gran posibilidad para causar pérdidas, y para levantar de cómo esto puede suceder. Es muy  importante que cualquier empresa  identifique las causas,  fuentes de riesgo, y consecuencias.

En la etapa de análisis del riesgo, lo primero es la identificación del riesgo. Las actividades de identificación del riesgo son las siguientes:

Identificación de Activos[editar]

Activo: es todo elemento con valor para la empresa, que requieren protección.

En la actividad de la identificación de los activos:

Entrada: Se estima los resultados de la fase de definición del alcance.

Acción: Es el desarrollo de la actividades para identificar los activos.

La identificación de los activos se debe hacer a un nivel de detalle que admite el suministro de información adecuada y suficiente para analizar el análisis y realizar la evaluación del riesgo.

Salida: se realiza la lista de los activos  sensibles para la empresa u organización y una lista de los negocios  que tengan que ver con estos activos.

Identificación de las amenazas[editar]

Amenaza: es un evento que explota vulnerabilidades, con posibilidad de causar incidentes no deseados, que podrán resultar daño para un sistema informático u organización.

De esta actividad de identificación de las amenazas, el equipo de análisis  tendrá  como:

Entrada: la información obtenida del historial  de cada uno de los  incidentes causados, de observaciones realizadas por los encargados y usuarios de cada uno de los activos (hardware), y aún a través de información recolectada de documentos externos de amenazas.

Acción: identificación de las amenazas y sus fuentes. La fuente de amenaza está relacionada a su agente, entidad que puede causar una amenaza explotando o evidenciando alguna vulnerabilidad.

Salida: se realiza una lista de amenazas con la identificación de cada  tipo y de la fuente de las amenazas.

En  las acciones de identificación de amenazas,  se debe llevar a cabo entrevistas, observaciones del lugar y una lista con los niveles gerenciales, técnicos y también con todos los usuarios de la institución, para tener la información necesaria. Se puede obtener  la información como: datos de incidentes ocurridos, cantidad de ocurrencias, aspectos culturales  y de ambiente de los activos, experiencias en ocurrencias anteriores, evaluaciones recolectadas en las reuniones de la empresa. Toda la información debe ser un documentada para su futura utilización como prueba en caso de necesitar. Es  muy frecuente las amenazas pueden  afectar a más de un activo. En estos casos,  en el equipo debe tener en cuenta que estas  diferentes amenazas pueden actuar de manera diferente en cada activo, lo que los afectara de manera diferente.

Identificación de  los controles existentes[editar]

El Objetivo de la identificación de controles existentes es:

Evitar los costos y duplicación de controles.

Asegurar que los controles existentes se entren funcionando de manera correcta y tratando el riesgo de forma deseada.

El control es un proceso físico u operacional para recoger y  tratar los riesgos de la ocurrencia de un incidente de seguridad.

En la actividad de identificación de los controles existentes, podemos  identificar en el ambiente del alcance los controles que están planea dos para implementación y los controles ya implementados y en uso corriente.

Entrada: obtenemos la  documentación de los controles existentes y un plan de implementación del control para el tratamiento del riesgo.

Acción: identificación de los controles implementados y planificados.

Salida: Se realiza una  lista de todos los controles existentes y planificados, su implementación y estatus de uso.

Análisis del riesgo: vulnerabilidades y consecuencias[16][editar]

Objetivos:[editar]

Identificar cada una de las vulnerabilidades y las consecuencias de las mismas.

Introducción[editar]

El análisis del riesgo es un proceso formal para identificar las amenazas y vulnerabilidades, por lo que podremos definir cuáles son las posibles soluciones que tendríamos para poder tener eficacia en el momento de solventar este problema.

Cada paso que tomemos debemos entender el problema por lo que se deben identificar los activos, las amenazas, los controles existentes y también aquellos que necesitan ser implementados. El siguiente paso consiste en identificar las vulnerabilidades y las consecuencias que pueden ser causadas, en caso de que las vulnerabilidades sean explotadas.

Proceso de análisis del riesgo de seguridad de la información;

Cada actividad se debe realizar en secuencia, el cual nos va a permitir al final de la etapa identificar el riesgo.

1.- Identificación de riesgos[9]​:[editar]

Identificación de activos

Identificación de amenazas

Identificación de los controles existentes

Identificación de las vulnerabilidades

Identificación de las consecuencias

Evaluación del riesgo

2.-Identificación de las vulnerabilidades[17][editar]

Al realizar esta actividad, se deben observar las siguientes áreas para la identificación de las vulnerabilidades:

Organización.

Procesos y procedimientos.

Rutinas de gestión y documentación.

Recursos humanos (incluyendo contratistas y proveedores de servicios).

Instalaciones físicas y prediales.

Configuración de los sistemas de información (incluidos los sistemas operacionales y aplicaciones).

Hardware, software y equipos de comunicación.

Dependencias de entidades externas.

Vulnerabilidad es una debilidad que podemos explotar que  ponga en peligro la seguridad de los sistemas o información. Es una debilidad de un activo o grupo de activos que puede ser explotada para lograr una o más amenazas.

La actividad de la identificación de las vulnerabilidades tiene como objetivo crear una lista con las vulnerabilidades asociadas a los activos, las amenazas y los controles. En esta actividad, el equipo de análisis tendrán como:

Entrada: listas de amenazas conocidas, las listas de los activos y de los controles existentes, y todas las salidas de las actividades anteriores.

Acción: actividad de identificación de las vulnerabilidades que podrían ser explotadas por amenazas con la posibilidad de poner en peligro los activos.

Salida: lista de escenarios de incidentes con sus consecuencias asociadas con los activos y los procesos de negocio.

El equipo de análisis debe tener en cuenta que la existencia de vulnerabilidades por sí misma no produce pérdidas, por lo tanto debe haber una amenaza. Así mismo es necesario el monitoreo de la vulnerabilidad en el caso de identificar cambios en su configuración.

Una buena práctica de esta actividad es que el equipo de análisis recorra todas las dependencias cubiertas por el alcance y realice entrevistas en su propio ambiente de trabajo con los entrevistados,

Es una manera de observar las vulnerabilidades y  a partir de ellas identificar otras. Otra práctica que se puede utilizar es la identificación de vulnerabilidades a través del uso de métodos proactivos de ensayos, a pesar del alto costo. Entre los métodos se pueden citar:

Herramientas automatizadas para la búsqueda e identificación de las vulnerabilidades: software creado para pruebas de seguridad y descubrimiento de las vulnerabilidades de forma automática, generando informes detallados de los problemas y vulnerabilidades identificados en el sistema. Las herramientas automatizadas son capaces de cruzar la información, analizarlas y comprobar las vulnerabilidades encontradas de manera eficiente. Tales herramientas han madurado, catalogando en sus bases de conocimiento la mayoría de las vulnerabilidades existentes, sin dejar de tener un costo relativamente alto.

Evaluación y pruebas de seguridad: evaluación de la vulnerabilidad es un primer paso de verificación de la vulnerabilidad. Los resultados e información obtenida a través de las evaluaciones se utilizarán para la realización de las pruebas. La evaluación verifica vulnerabilidades potenciales y las pruebas de seguridad tratan de explotarlas.

Prueba de invasión: tiene como objetivo comprobar la resistencia del activo en relación a los métodos de ataque conocidos. » Análisis crítico de código: la identificación de las vulnerabilidades en el código fuente.

Identificación de las consecuencias Un escenario es nada más que la descripción de una amenaza explorando una o más vulnerabilidades en un incidente de seguridad de la información.

Ejemplos de consecuencias operacionales:

• La oportunidad perdida.

• Salud y seguridad de los profesionales involucrados.

• Tiempo de investigación y tiempo de reparación.

• Tiempo perdido de trabajo.

• Costo financiero para reparar el daño.

• Imagen y reputación.

Se entiende por consecuencias el resultado de un incidente o evento que puede tener un impacto en los objetivos de la organización. En esta parte del análisis del riesgo, una consecuencia puede ser, por ejemplo:

La pérdida de eficacia en el funcionamiento operacional de los sistemas

La inestabilidad en el funcionamiento de sistemas

Condiciones adversas de operación

Pérdida de la oportunidad de negocios

Imagen y reputación afectadas

Violación de obligaciones reglamentarias

Pérdidas financieros

La pérdida de datos e información

La pérdida de vidas humanas

Pérdida de competitividad

Entre muchos otros, de acuerdo con los negocios de la organización.

Un escenario no es más que una descripción de una amenaza que explota una o más vulnerabilidades en un incidente de seguridad de la información y puede afectar a uno o más activos o apenas parte de un activo, de acuerdo con los criterios establecidos en la definición contexto. Como ejemplos de consecuencias operacionales se menciona:

Pérdida de oportunidad;

Salud y seguridad;

Tiempo de investigación y tiempo de reparación;

Tiempo de trabajo perdido;

Análisis del riesgo: evaluación de las consecuencias[18][editar]

Objetivo[editar]

Realizar la evaluación de las consecuencias

Introducción[editar]

Después de la realización del proceso de identificación del riesgo, se necesita un proceso de asignación de valores a los activos, las amenazas, las vulnerabilidades y las consecuencias. Esto hace que sea posible poner los riesgos en orden de prioridad, para tratarlos de acuerdo con su urgencia o criticidad. Estos valores siguen los mismos criterios en la fase de definición de contexto.

Visión general del proceso de estimación del riesgo[editar]

La etapa de estimación del riesgo consiste en realizar una estimación de los valores para cada uno de los elementos identificados, para ordenar el nivel de criticidad del riesgo y su posterior mitigación.

Se puede realizar con mayor o menor detalle, en función del riesgo, del objetivo del análisis, de la información, los datos y los recursos disponibles.

Puede ser cualitativa, cuantitativa, o la combinación de ambos.

Desarrollado de acuerdo con los datos identificados en las actividades de las etapas anteriores.

Estimativa de valores para cada uno de los elementos identificados para que sea posible ordenar el nivel de criticidad, del riesgo y el tratamiento posterior para la mitigación de los riesgos.

El análisis del riesgo se puede realizar con mayor o menor detalle, en función del riesgo, el objetivo del análisis, y de la información, datos y recursos disponibles. Se deben identificar los factores que afectan a la probabilidad y las consecuencias. Este análisis puede ser cualitativo, cuantitativo, o una combinación de ambos, dependiendo de las circunstancias.

La estimación del riesgo se realiza de acuerdo a los criterios del riesgo definidos por el equipo de análisis durante el inicio de los trabajos. Es importante tener en cuenta la interdependencia de los diferentes riesgos y sus fuentes.

La siguiente figura muestra la ubicación de la etapa de estimación del riesgo dentro del proceso de gestión del riesgo.

Metodologías Dos metodologías se pueden utilizar para el análisis del riesgo:

Análisis cualitativo de riesgos. » Análisis cuantitativo de riesgos

Metodología de análisis cualitativo[19][editar]

El análisis cualitativo se basa en la evaluación, a través de atributos calificadores y descriptivos, de la intensidad de las consecuencias y la probabilidad de ocurrencia del riesgo identificado. En la metodología cualitativa no se asigna valores financieros a los activos, consecuencias o controles, sino que se utilizan escalas de atributos a través de valores descriptivos relativos.

Esta estimación es considerada demasiado subjetiva, siendo ideal para una verificación inicial de los riesgos, cuando no se dispone de suficientes datos numéricos.

Metodología de análisis cuantitativo

En la metodología de análisis cuantitativo es utilizada una escala de valores numéricos con el objetivo de intentar calcular valores numéricos para cada uno de los componentes recolectados durante las actividades de identificación del riesgo. Un enfoque cuantitativo se adopta cuando hay un escenario que permita definir los valores financieros, aunque sea aproximado de los activos priorizados, así como los impactos. Por ejemplo, se estima que el valor real de cada activo en función del costo de reemplazo o del costo asociado a la pérdida de productividad, y otros valores de acuerdo con el tipo de organización. Esta manera de calcular puede ser empleada para el levantamiento estimado del costo de los controles y otros valores identificados en la etapa anterior. El análisis cuantitativo se debe usar datos históricos y datos precisos y auditables. Si no existe tal información, este tipo de cálculo se convierte en falso.

Estimación del riesgo[editar]

Realizada después de la etapa de identificación del riesgo. » Consta de tres actividades: • Evaluación de las consecuencias. • Evaluación de la probabilidad de incidentes. • Estimación del nivel del riesgo.

La etapa de estimación del riesgo se realiza poco después de la identificación del riesgo, cuando ya se ha levantado e identificado dentro del alcance acordado, los activos, las amenazas, las vulnerabilidades y sus consecuencias.

La siguiente figura ilustra, de forma didáctica, la secuencia de las actividades:

Evaluación de las consecuencias[editar]

El propósito es evaluar el impacto en los negocios de la organización teniendo en cuenta las consecuencias de una violación de la seguridad de la información.

El orden de los activos puede hacerse de dos maneras:

• A través del valor de reposición del activo.

• A través de las consecuencias para el negocio.

La valoración de los activos y su clasificación por la criticidad son factores importantes para la determinación del impacto de un escenario de incidente.

• El incidente puede afectar a más de un activo, debido a la interdependencia de los activos.

Las consecuencias se pueden expresar en términos de criterios financieros, técnicos, humanos, del impacto en los negocios, entre otros criterios.

Preparación de la lista de consecuencias evaluadas referentes a un escenario de incidente, en relación a los activos y criterios de impacto.

La actividad de la evaluación de las consecuencias tiene como objetivo evaluar los impactos sobre los negocios de la organización, teniendo en cuenta las consecuencias de una violación de seguridad de la información, tales como: la pérdida o degradación de la disponibilidad de los activos, la pérdida de la confidencialidad o la pérdida de integridad. Para esta evaluación, el equipo de análisis tendrá en cuenta los criterios y factores y adoptará una de las metodologías de estimativa: cualitativa o cuantitativa.

Entrada: resultados de la etapa de identificación del riesgo.

Acción: exactamente el desarrollo de la actividad de evaluación de las consecuencias sobre el negocio de la organización.

Salida: lista de las consecuencias relativas a un escenario de incidente, estando relacionado a los activos y criterios de impacto.

Una de las primeras acciones es el ordenamiento de los activos de acuerdo con su criticidad e importancia para el logro de los objetivos de negocio de la organización. Es posible hacer esto de dos maneras:

A través del valor de reposición del activo: donde se determina el costo financiero de recuperación o reposición del activo y también del valor de la información que contenga. Por ejemplo, un servidor de correo electrónico de una organización se quemó y tiene su costo de reposición estimado en US$ 5 mil. En la metodología cualitativa el valor es alto y en la metodología cuantitativa el valor es US$ 5 mil.

A través de las consecuencias al negocio: el valor se determina por el impacto de las consecuencias en los negocios. Normalmente este valor es más significativo que sólo el valor del activo. Siguiendo con el ejemplo del servidor de correo electrónico quemado del apartado anterior, se identificó que la organización trabaja con ventas de artículos deportivos hechos a mano, y sus ventas se realizan a través de e-mail, incluyendo el proceso de pago. El servidor tomó cinco días para ser restablecido y configurado, y el propietario estima que dejó de vender alrededor de US$ 20 mil por cada día parado. En la metodología cualitativa el valor es elevado y en la metodología cuantitativa el valor es de US$ 100 mil (5 días de paro x US$ 20 mil por día).

La valoración de los activos y su clasificación por la criticidad son importantes para la determinación del impacto de un escenario de incidente, pues el incidente todavía puede afectar más de un activo, debido a la interdependencia de los activos. Por lo tanto, la evaluación de las consecuencias está fuertemente relacionada con la valoración de activos. Recuerde que las consecuencias podrían ser expresadas en términos de criterios monetarios, técnicos, humanos, del impacto en los negocios u otros criterios importantes para la organización.

Análisis del riesgo: evaluación de la probabilidad[20][editar]

Dentro de este proceso, encontramos la actividad de identificación de las probabilidades de ocurrencia y la determinación del nivel del riesgo, Estas actividades son usadas para finalizar con la etapa de Análisis del riesgo.

6.1  Visión general del proceso de evaluación del riesgo

En la actividad Análisis de riesgo, se va a revisar las siguientes:

6.2  Evaluación de la probabilidad de ocurrencia de incidentes

Evaluación de la probabilidad de ocurrencia de incidentes en cada escenario y sus impactos.

Posteriormente con la identificación en los escenarios de incidentes y la evaluación de las consecuencias, es preciso verificar la evaluación de la probabilidad del riesgo en cada escenario y los impactos correspondientes.

Entrada: listas de escenarios de incidentes identificados como relevantes en la actividad de evaluación de las consecuencias.

Acción: evaluación de la probabilidad de ocurrencia de incidentes de seguridad.

Salida: probabilidad de los escenarios de incidentes en el método cuantitativo o cualitativo

Para la estimación de la probabilidad será necesario:

Que el equipo realice el estudio del historial de ocurrencias, la frecuencia de ocurrencia de las amenazas y de la facilidad con la que las vulnerabilidades pueden ser explotadas.

Ejemplo

Histórico: “Hace 2 años ocurrió una indisponibilidad de red por falla de cables.”

Frecuencia: “Se encontró fallos en el cableado dejando al servidor del correo electrónico sin conexión, luego vuelve a funcionar el servidor. Ha sucedido en los últimos 2 meses varias veces.”

Facilidad: “el servidor de correo electrónico ha estado ubicado en otra parte de la organización ayudando que sea más fácil para despachar peticiones. El personal puede acceder y existen 9 personas que trabajan allí.”

Para la estimativa de la probabilidad el equipo de análisis debe considerar:

Hechos y los estados históricos de amenazas específicas. Las vulnerabilidades, individual y en conjunto sus controles existentes, la eficiencia y eficacia con que se minimicen las vulnerabilidades.

Fuentes de amenazas intencionales:

  • Motivación para explotar, conflictos con superiores y la insatisfacción laboral.
  • Habilidades y conocimientos: algunas vulnerabilidades sólo pueden ser ejecutadas si el atacante tiene elevado conocimiento técnico.
  • Poder de atracción de los activos: para un atacante causar un gran daño, no es suficiente, sin embargo, puede ser suficiente para otro atacante con el objetivo de provocar pequeños problemas.

Para las fuentes de amenazas accidentales:

  • Inminencia a lugares que pueden dañar los equipos;
  • Eventos climáticos inundaciones y tormentas de viento;
  • Elementos facilitadores, que permiten que un error humano accidental implique errores (por ejemplo, red eléctrica inestable).

Metodologías de análisis:

Con la ayuda de dos metodologías de estimación, se puede tener el siguiente resultado.

  • Cualitativa: alta probabilidad de ocurrir una falla de disponibilidad.
  • Cuantitativo: probabilidad de 75% de ocurrir un fallo de disponibilidad.

Determinación del nivel del riesgo[21][editar]

La determinación del nivel del riesgo es una actividad en la cual el equipo de análisis va a medir el nivel del riesgo dándole paso a la creación de la tabla de análisis de riesgo con el uso de los resultados obtenidos en las etapas anteriores.

En esta actividad de determinación del nivel del riesgo:

Entrada: son las listas de escenarios de incidentes identificados con sus consecuencias y probabilidades en la actividad de evaluación de la probabilidad.

Acción: determinación del nivel del riesgo para todos los incidentes considerados.

Salida: una lista de riesgos con niveles de valores.

Evaluación del riesgo[22][editar]

Introducción[editar]

Ya con resultados obtenidos en las fases anteriores, se puede iniciar el proceso de evaluación del riesgo, fase responsable por ordenar los riesgos por la prioridad de acuerdo con los criterios de evaluación del riesgo definidos.

Proceso de evaluación del riesgo de seguridad de la información[23][editar]

Es importante ayudar en las decisiones sobre la base de los resultados. Esta etapa debe verificar los niveles de riesgos identificados en la fase anterior con los criterios de evaluación y aceptación del riesgo.

Fase de evaluación del riesgo:

Entrada: lista de los riesgos con los niveles de valores y criterios para la evaluación del riesgo.

Acción: Verificación del nivel del riesgo con los criterios de evaluación.

Salida: directorio de riesgos regulados por priorización, de acuerdo a los criterios de evaluación del riesgo.

Evaluación del riesgo de seguridad de la información[editar]

Comparación de los riesgos estimados con los criterios de evaluación definidos para seleccionar las decisiones de esta fase en función del nivel del riesgo aceptable. Es importante que la organización considere también:

Las propiedades de seguridad de la información [24]​(CIDA):

  • Confidencialidad.
  • Integridad.
  • Disponibilidad.
  • Autenticidad.

La importancia de los procesos de negocios o de la actividad soportada por un activo o grupo de activos puede resultar en un riesgo total significativo, para tratarlos de esta manera.

La unión de riesgos pequeños y medianos

La consideración a los requisitos contractuales, reglamentarios y legales.

Actividad a ser concluida en conjunto con la organización, dado que sólo ella tiene la visión completa de los objetivos estratégicos de su negocio.

Adicional algo importante a tener en cuenta durante la evaluación del riesgo es la suma de una serie de riesgos que se consideran pequeños o medianos para, a través de esta agregación, convertirlos en un riesgo total mucho más significativo, y así tratarlos adecuadamente.

Comunicación y monitoreo del riesgo[17][editar]

Hay dos fases que se desarrollan a las demás fases:

  • La comunicación del riesgo
  • El monitoreo y análisis crítico del riesgo

Durante todo y cualquier tipo de trabajo, la comunicación es una actividad importante. La transmisión de la información sobre el desarrollo de las actividades y los resultados obtenidos. Otra fase de importancia se extiende a todas las demás fases es el monitoreo y análisis crítico del riesgo. Esta es una fase en que el equipo lleva a cabo el monitoreo y análisis crítico del riesgo. Una característica de estas dos fases es que son durante el proceso de gestión del riesgo.

Proceso de comunicación y consulta del riesgo de seguridad[editar]

Se trata de un intercambio interactivo de documentos formalmente de información que imparten conocimientos y percepciones sobre cómo se deben gestionar los riesgos.

Comunicación y consulta del riesgo de seguridad de la información[editar]

La comunicación permitirá una comprensión adecuada de mayor agilidad en la toma de decisiones para la complementación de mecanismos de control de los riesgos, para evitar daños más graves. Permitirá una mejor percepción de los riesgos y de los beneficios de su rápido tratamiento, así como realizar un trabajo de concientización acerca de la gestión del riesgo y la seguridad de la información.

Monitoreo del riesgo[25][editar]

Las etapas del análisis del riesgo son una etapa importante para la verificación y control de los resultados del trabajo, La ejecución de esta etapa durante toda la realización del proyecto permitirá que la organización acompañe la eficiencia de los resultados y la eficacia de los controles.

Proceso de monitoreo y análisis crítico del riesgo de seguridad de la información[editar]

El monitoreo puede ser definido como la continua observación y registro regular de las actividades y acciones de riesgo. Monitorear es verificar el progreso de las actividades de la gestión del riesgo, la proposición de verificar el desarrollo de la gestión del riesgo es el análisis crítico es una evaluación sobre los resultados y acciones de la gestión del riesgo en relación con los requisitos preestablecidos, con el objetivo de hacer el levantamiento de problemas para resolver y mejorar continuamente el proceso de gestión del riesgo.

Monitoreo y análisis crítico de los factores de riesgos[editar]

El monitoreo es la actividad de identificar y asegurar el control del riesgo, monitoreando riesgos residuales e identificando nuevas amenazas, vulnerabilidades y riesgos, asegurando la ejecución de los planes de tratamiento del riesgo y evaluando su eficiencia y eficacia en la reducción de los riesgos.

Monitoreo y mejoramiento del proceso de la gestión del riesgo[editar]

El objetivo es garantizar que el proceso de gestión del riesgo esté realmente satisfaciendo a los requisitos estratégicos del negocio de la organización. En esta actividad, el trabajo del equipo de análisis debe haber realizado la actividad anterior y haber pasado los resultados a la organización, para que sean utilizados como subsidios para el monitoreo, análisis crítico y mejora del proceso de gestión del riesgo para toda la organización.

Referencias[editar]

  1. «Factores de Riesgo». 
  2. «Gestion de Riesgos». 
  3. «Riesgo Tecnologico». 
  4. Se refiere a medidas de protección de la privacidad digital que se aplican para evitar el acceso no autorizado a los datos, los cuales pueden encontrarse en ordenadores, bases de datos, sitios web, etc. La seguridad de datos también protege los datos de una posible corrupción.
  5. Factores externos Cambios económicos, Catástrofes humanas o naturales, Nuevos estándares, Cambios a las leyes y regulaciones, Cambios en las demandas de los clientes, Desarrollos tecnológicos. Factores internos Uso de determinaciones de fuentes de capital, Cambios en las responsabilidades de la Administración, Consideraciones para la contratación y capacitación de personal, Acceso de los empleados a los bienes, Cambios internos en las tecnologías de información.
  6. La implementación de controles informáticos deberá someterse a un proceso de monitoreo previa su aprobación y salida a producción. E aplicará el criterio del mínimo privilegio en la aplicación de controles informáticos, dependiendo de la necesidad de acceso, de acuerdo a los criterios de disponibilidad, confidencialidad e integridad.
  7. Es necesario que los usuarios incorporen buenas prácticas para proteger el entorno de información, y prevenir aún más la posibilidad de formar parte del conjunto que engloba a las potenciales y eventuales víctimas de cualquiera de las amenazas, que constantemente buscan sacar provecho de las debilidades humanas.
  8. Las empresas deben analizar todos los posibles peligros, situaciones y eventos que se interpongan en el cumplimiento de objetivos, o peor aún, que impliquen pérdidas humanas, ambientales y económicas. Una vez, la compañía tenga ese análisis claro, podrá enfocar sus esfuerzos en los riesgos con mayor amenaza. Las organizaciones deben tener en cuenta todos los riesgos a los que puede enfrentarse por causa de fallas en los procesos, errores en la ejecución, fraudes internos y externos, entre otras situaciones que pueden llevarla a perder participación en el mercado o afectar su buen nombre.
  9. a b «Seguridad de la información». 
  10. «Elaboración de un texto». 
  11. «Evento de seguridad». 
  12. «Elementos que componen una organización». 
  13. a b «Objetivo de las organizaciones». 
  14. «Análisis de riesgo informático». Wikipedia, la enciclopedia libre. 13 de noviembre de 2019. Consultado el 7 de diciembre de 2019. 
  15. «Amenza». 
  16. «Análisis y evaluación de riesgos de seguridad de la información: identificación de amenazas, consecuencias y criticidad». www.isotools.org. Consultado el 7 de diciembre de 2019. 
  17. a b «Vigilancia Gestión del riesgo, respuesta inmediata y comunicación del riesgo». www.ins.gov.co. Consultado el 7 de diciembre de 2019. 
  18. «Análisis de riesgo». Wikipedia, la enciclopedia libre. 22 de julio de 2019. Consultado el 7 de diciembre de 2019. 
  19. «El análisis en investigación cualitativa». 
  20. «Analisis de riesgo». 
  21. ceima (24 de marzo de 2009). MÉTODO DE EVALUACIÓN DE RIESGOS. Consultado el 7 de diciembre de 2019. 
  22. «Evaluación de riesgo». Wikipedia, la enciclopedia libre. 10 de septiembre de 2019. Consultado el 7 de diciembre de 2019. 
  23. «Riesgo de seguridad de la información». 
  24. «Seguridad de la información». 
  25. «Navegador del PMBOK 5». pmbok.certificacionpm.com. Consultado el 7 de diciembre de 2019. 
Obtenido de «https://es.wikipedia.org/w/index.php?title=Usuario:Grupo_novenoD/Taller&oldid=123395301»