Esquemas de Seguridad Informática

Análisis de Riesgos Pasos del análisis del riesgo

Cualquier análisis del riesgo de seguridad debe indicar:

  • El actual nivel de riesgo.
  • Las consecuencias probables.
  • Qué hacer con el riesgo residual si es muy alto.

Los tres elementos principales en un análisis de riesgo son:

  • Un balance del impacto o del costo de alguna dificultad específica si ésta sucede.
  • Una medida de la efectividad de los controles dentro del lugar,
  • Una serie de recomendaciones para corregir o minimizar los problemas identificados.

El proceso de análisis de riesgo consiste de ocho pasos interrelacionados:

1. Identificar y evaluar los activos

Identificar y asignar un valor a los activos que necesitan protección. El valor del activo se basa en su costo, sensibilidad, misión crítica, o la combinación de estas propiedades.

2. Identificar las amenazas

Después de identificar los activos que requieren protección, las amenazas a éstos deben ser identificadas y examinadas para determinar cuál sería la pérdida si dichas amenazas se presentan.

3. Identificar/describir vulnerabilidades

El nivel de riesgo se determina analizando la relación entre las amenazas y las vulnerabilidades. Un riesgo existe cuando una amenaza tiene una vulnerabilidad correspondiente, aun que hay áreas de lata vulnerabilidad que no tienen consecuencia si no presentan amenazas.

4. Determinar el impacto de la ocurrencia de una amenaza

Cuando la explotación de una amenaza ocurre, los activos sufren cierto impacto. Las pérdidas son catalogadas en áreas de impacto llamadas:

  • Revelación: cuando la información es procesada y se pierde la confidencialidad.

  • Modificación: el efecto de la manifestación de una amenaza cambia de estado original del activo

  • Destrucción: el activo es logrando su completa pérdida.

  • Denegación de servicio: pérdida temporal de los servicios.

5. Controles en el lugar

La identificación de los controles es parte del proceso de recolección de datos en cualquier proceso de análisis del riesgo. Existen dos tipos principales:

  • Controles requeridos: todos los controles de es esta categoría pueden ser definidos con base en una o más reglas escritas.

  • Controles discrecionales: este tipo de controles es elegido por los administradores.

 6. Determinar los riesgos residuales (conclusiones)

Siempre existirá un riesgo residual por lo tanto, debe determinarse cuándo el riesgo residual, es aceptable o no. El riesgo residual toma la forma de las conclusiones alcanzadas en el proceso de evaluación. Las conclusiones deben identificar:

  • Las tareas que tienen alta vulnerabilidad junto con la probabilidad de ocurrencia de la amenaza.

  • Todos los controles que no están dentro del lugar.

7. Identificar los controles adicionales (recomendaciones)

El siguiente paso es identificar la forma más efectiva y menos costosa para reducir el riesgo a un nivel aceptable. Un intercambio operacional – el cual puede tomar la forma de costo, convivencia, tiempo, o una mezcla de los anteriores- debe realizarse al mismo tiempo que los controles adicionales son implementados. Las recomendaciones son:

  • Recomendación de controles requeridos: controles requeridos u obligatorios que no se encuentran en el lugar son las primeras recomendaciones.

  • Recomendaciones de controles discrecionales: la segunda recomendación generalmente identifica los controles direccionales necesarios para reducir el nivel de riesgo.

8. Preparar un informe del análisis del riesgo

El proceso de análisis del riesgo determina si los controles son efectivos. Cuando el análisis está completo, un informe de la evaluación del riesgo debe prepararse. Los detalles técnicos del reporte deben incluir como mínimo:

  • Niveles de vulnerabilidad.

  • Amenazas correspondientes y su frecuencia.

  • El ambiente usado.

  • Conexión del sistema

  • Nivel o niveles de sensibilidad de los datos

  • Riesgo residual, expresado en una base individual de vulnerabilidad.

  • Cálculos detallados de la expectativa de pérdida anual.

Es esencial asegurarse que los controles y el gasto que implica sean completamente proporcionales a los riesgos a los cuales se expone la organización.