En este post vamos a hablar en profundidad de todo lo que debes saber sobre el Análisis de Riesgos, un servicio que permite concentrar los recursos en aquellos activos que son críticos, implantando las medidas y controles de seguridad solo en los recursos que lo requieren.
Si posees información valiosa y quieres proteger los activos que son críticos para tu negocio, esto es para ti. Análisis de Riesgos: Imprescindible para la Ciberseguridad. ¡Sigue leyendo! Te contamos todo lo que debes saber.
Activos: ¿Qué debemos proteger?
- Información (digital y papel)
-
Datos y BBDD
-
Aplicaciones (software)
-
Equipos (hardware)
-
Soportes
-
Comunicaciones
-
Instalaciones
-
Personas
¿Qué es una amenaza?
Una amenaza es toda circunstancia, evento o persona que tiene el potencial de causar daño en forma de robo, destrucción, divulgación, modificación de datos, denegación de servicio o desconocimiento de los usuarios.
¿Qué es una vulnerabilidad?
Una vulnerabilidad es una debilidad o necesidad a través de la cuál una amenaza puede causar un daño. Otra vulnerabilidad puede ser no tener el sistema operativo parcheado o no tener formado al personal de la organización.
¿Qué es un impacto?
El impacto es el daño que se produce al materializarse una amenaza.
Riesgo de seguridad de la información
Es la probabilidad de que una amenaza se materialice, aprovechando una vulnerabilidad de los sistemas de información, para provocar un daño.
¿Cómo se calcula el nivel de riesgo?
Combinando las consecuencias de un suceso (impacto) y de su probabilidad de que ocurra.
Riesgo = Probabilidad x Impacto
A su vez, dentro de los sistemas de información, la probabilidad es igual a la frecuencia con la que se presenta la amenaza por lo vulnerable que sea ese activo ante esa amenaza.
Gestión de riesgos: ¿qué es?
La gestión de riesgos es el proceso de identificar, comprender, evaluar y mitigar los riesgos que existen para la seguridad de la información.
La gestión de riesgos es fundamental para la Ciberseguridad porque si no conoces las amenazas que pueden afectar a los activos, difícilmente, vas a escoger las medidas más apropiadas.
Lo que busca la gestión de riesgos es que no implantes medidas de seguridad que se te ocurren, sino que haga una reflexión, ver cuáles son las amenazas mayores, cuál es el daño que se podría producir, para así, estimar el nivel de riesgo y priorizar las inversiones. De tal manera que me preocupo de emplear el dinero de la mejor forma.
Análisis de riesgos en la ISO 27001
Las normas están basadas ya en el Análisis de Riesgos. La ISO 27001, un sistema de gestión de seguridad de la información está basado en el Análisis de Riesgos.
Primero tenemos que identificar los activos, ver cuáles son los riesgos mayores y luego poner salvaguardas para mitigar esos riesgos.
La Gestión de Riesgos lo tenemos en la ISO 27005, que es una guía para establecer una metodología de Gestión de Riesgos. ¿Las salvaguardas dónde se toman? De la ISO 27002, que son los controles de seguridad de la información.
Análisis de Riesgos en el Esquema Nacional de Seguridad
Tenemos la Gestión de Riesgos que podemos implantar una metodología reconocida internacionalmente que es lo que nos dice el Esquema Nacional de Seguridad, puede ser la ISO 27005 y MAGERIT, ya que son las más habituales, luego, vamos a tomar las salvaguardas del Anexo II del ENS para mitigar esos riesgos que hemos identificado en el Análisis de Riesgos que hemos hecho.
Con lo cual, el Análisis de Riesgos es algo que ya incorporan todas las normas y metodologías para la Gestión de los Riesgos, entre ellos: la Gestión de Riesgos de Ciberseguridad.
Utilización sistemática de la información disponible para identificar las amenazas y sus consecuencias y estimar los riesgos.
Análisis de Riesgos
- ¿qué puede ocurrir?
- ¿cuándo y dónde puede ocurrir?
- ¿cómo y por qué puede ocurrir?
- Determinar las consecuencias de los incidentes y ataques;
- Determinar la posibilidad o probabilidad de que ocurran incidentes y ataques que hemos identificado;
- Determinar qué salvaguardas se requieren;
- Tener en cuenta las salvaguardas presentes, con el fin de no implantar cosas que ya estén implantadas.
¿Qué valor nos aporta el Análisis de Riesgos?
- Permite identificar las amenazas que pueden afectar a la organización y sus consecuencias que se podrían ocasionar, en caso de que tengan éxito.
- Ayuda a seleccionar a las medidas de seguridad que se deben implantar para mitigar dichas amenazas.
- Es fundamental para invertir de la mejor forma el dinero, asegurándonos que estamos atendiendo los riesgos mayores con el presupuesto que tenemos disponible.
¿Cuál es el proceso en la Gestión de Riesgos?
- Metodología para el Análisis de Riesgos
- Análisis de Riesgos
- Tratamiento de los riesgos (implantar medidas de seguridad o gestionar con las cuatro opciones que vamos a detallar).
Contenido de la metodología
- Confidencialidad: es decir, que la información no se revele a entidades o procesos no autorizados.
- Integridad: la información es veraz, no se altera de forma no autorizada.
- Disponibilidad: la información está disponible en el momento en el que se necesita.
- Autenticidad (ENS): el origen de los datos es quien dice ser, es auténtico.
- Trazabilidad (ENS): cualquier acción sobre la información puede imputarse a una persona o entidad concreta.
-
Alto
-
Medio
-
Bajo
-
Del 1 al 5
-
Del 1 al 10
-
Del 1 al 100
-
Seguridad de las personas
-
Pérdidas reputaciones
-
Pérdidas económicas
-
Incumplimiento legal o regulatorio
-
Indisponibilidad del servicio
-
Información personal
-
Riesgo = Impacto x Probabilidad
-
Riesgo = Impacto + Probabilidad
-
Riegos = Impacto (c+d+i) x probabilidad
-
Alto
-
Medio
-
Bajo
-
1,2,3,4,5
-
1,2,3,4,5,6,7,8,9,10
Análisis de Riesgos
Identificar los activos
-
Servicios, procesos, etc.
-
Información
-
Equipamiento lógico (software)
-
Equipamiento físico (hardware, comunicaciones, soportes …)
-
Instalaciones
-
Personal
Criterios típicos de valoración
Luego vamos a valorarlos, cuáles serían las consecuencias de que se perdiese alguna de las dimensiones de seguridad de los activos, es decir; que se pierda la confidencialidad, la integridad y la disponibilidad.
-
Coste de reposición
-
Coste de reconstrucción (información, equipamiento)
-
Merma de beneficios
-
Incremento de gastos
-
Penalizaciones, multas
-
Sanciones
-
Incumplimiento de leyes
-
Otros
Una vez que lo hemos valorado, entra en juego el descubrimiento de amenazas:
- Se deben determinar las amenazas sobre los activos:
- Actos deliberados de personas
-
Accidentes originados por persona
-
Debilidades del sistema
-
Accidentes técnicos
-
Accidentes naturales
Identificación de vulnerabilidades:
-
Amenaza: Acceso no autorizado a un sistema informático.
- Vulnerabilidades:
