¿Sabes a qué ataques informáticos se enfrenta tu empresa? ¿Sabrías identificar qué puedes perder y cuantificar los daños? Hoy en Influyentes te ayudamos a prevenir de la mano de Héctor Traspuesto, CEO de AMIO INGENIEROS, ingeniería especializada en el desarrollo de municipios y destinos inteligentes, consultor y auditor en Sistemas de Gestión de la Seguridad de la Información y Esquema Nacional de Seguridad.
Recuerda que puedes descargarte este artículo en formato podcast y escucharlo cuando quieras.
Uno de los puntos críticos en un Sistema de Gestión de la Seguridad de la Información es la gestión del riesgo
El primer paso debe ser el llevar a cabo un completo análisis de riesgos y amenazas a los que se enfrenta nuestra organización. Para poder definir una estrategia de defensa, primeros debemos conocer en detalle cuáles son los ataques que podemos recibir. Pero antes de seguir, debemos conocer una mínima terminología asociada al Análisis y Gestión del Riesgo en el entorno de un Sistema de Gestión de la Seguridad de la Información:
- Activos: Elementos del sistema de información que aportan valor a la organización.
- Riesgo: Cuando una amenaza explota la vulnerabilidad de un activo, se compromete este último. Este compromiso puede afectar a la confidencialidad, la integridad o la disponibilidad del activo y generar la pérdida de valor parcial o total del mismo. El término “riesgo” se utiliza para describir la posibilidad o la probabilidad de ocurrencia de este compromiso.
- Análisis de riesgos: Utilización sistemática de la información disponible, para identificar peligros y estimar los riesgos.
- Evaluación/Apreciación de riesgos: El proceso general de análisis y valoración/calificación del riesgo.
- Riesgo Residual: Riesgo remanente que existe después de que se hayan tomado las medidas de seguridad.
- Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.
- Aceptación del riesgo: La decisión de aceptar un riesgo y asumir las consecuencias de su materialización.
- Tratamiento de riesgos: El proceso de selección e implementación de las medidas encaminadas a modificar el riesgo.
Para realizar el Análisis de Riesgos existen varias metodologías que resultan validas, como por ejemplo, la Metodología MAGERIT – Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información;. La metodología MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el antiguo Consejo Superior de Administración Electrónica (actualmente Comisión de Estrategia TIC), como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión, y cubre las actividades de análisis y tratamiento de riesgos facilitando una gestión de riesgos informada.
De forma más concreta:
- El análisis de riesgos permite conocer detalladamente el sistema: sus activos, su valor, y las amenazas a las que está expuesto.
- El tratamiento de riesgos se centra en seleccionar medidas de seguridad para controlar las amenazas.
- La gestión de riesgos es el proceso integral de tratamiento de los riesgos descubiertos durante el análisis.
- La organización debe aprobar el valor del riesgo aceptable y realizar la aceptación del riesgo residual.
