Esquemas de Seguridad Informática

Análisis de Riesgos

Cómo establecer los requerimientos y riesgos de seguridad

Existen  tres fuentes principales que deben considerarse para que una organización identifique sus requerimientos de seguridad:

  • La primera fuente se deriva de determinar los riesgos de la organización. A través de la evaluación del riesgo se identifican las amenazas a los activos y la vulnerabilidad de éstos, también se evalúa la probabilidad de ocurrencia y se estima el potencial de impacto.

  • La segunda fuente se refiere a los requerimientos legales, regulatorios, contractuales y establecidos que una organización, sus socios comerciales y proveedores de servicio tienen que satisfacer.

  • La tercera fuente es el conjunto particular de principios, objetivos y requerimientos para el procesamiento de la información que una organización ha desarrollado para mantener sus operaciones.

Los requerimientos de seguridad son identificados mediante una evaluación metódica de riesgos de seguridad. Las técnicas de evaluación de riesgo pueden ser aplicadas a toda la organización, o sólo en algunas partes, como en los sistemas individuales de información, componentes específicos del sistema o servicios donde esto es factible, realista y útil.

La evaluación del riesgo es una consideración sistemática de:

  • El daño al negocio es probablemente debido a una falla de seguridad, tomando en cuenta las consecuencias potenciales de una pérdida de confidencialidad, integridad o disponibilidad de la información y otros activos.
  • La probabilidad real de la ocurrencia de una falla ante amenazas y vulnerabilidades comunes y de controles recientemente implementados.

Los resultados de esta evaluación ayudarán a guiar y determinar la acción apropiada de administración y las prioridades para manejar los riesgos de seguridad de la información.

Es necesario realizar revisiones periódicas de riesgos de seguridad y controles implementados para:

  • Tomar en cuenta los cambios de requerimientos de negociación y las prioridades.
  • Considerar nuevas amenazas y vulnerabilidades.
  • Confirmar que los controles son efectivos y apropiados.

Las evaluaciones de riesgo son generalmente verificadas primero en un nivel alto, como medio para establecer la prioridad de los recursos en áreas de alto riesgo, y posteriormente en un nivel más detallado para analizar los riesgos específicos.