Saltar al contenido

Análisis de Riesgo, un aspecto fundamental del Sistema de Gestión de la Seguridad de la Información (SGSI).

image_print

Autor: John Gil Varga. Centro de Seguridad Informática y Certificación Electrónica (CESICE)-FIIIDT. 

 

Es poco probable que podamos medir con certeza, en la actualidad, las consecuencias reales de esta pandemia que aún no termina, sin embargo algunos factores de la nueva realidad podemos medirlos e incluso cuantificarlos. Las amenazas, los hackeos o ataques informáticos son una realidad actual y su crecimiento ha sido exponencial y proporcional al uso de la red global. Esto a incrementado los riesgos en el ámbito de la Seguridad de la Información ya que está es manejada en equipos o redes corporativas desde conexiones públicas o residenciales las cuales son condiciones en las que hay menos controles de seguridad y probablemente dejé expuesta la información sensible a un ambiente más hostil además de exponer las vulnerabilidades presente en los software y dispositivos IoT que utilizan los usuarios. Todos estos aspectos evidencia que:

  1. Las amenazas a la seguridad de la información no están en confinamiento.
  2. Los cambios que deben asumir las organizaciones en el campo de la seguridad y resguardo de la información pueden ser por decisión o por obligación.
  3. La seguridad debe ser un elemento activo dentro de la organización y deben acompañarnos en todo momento y en todo lugar y sin límites físicos.

Bajo esta premisa podemos evidenciar que la necesidad de probar, implementar, revisar, mejorar y actualizar las herramientas como, El Análisis de Impacto al negocio, Evaluaciones de Riesgo y los Planes de Continuidad del Negocio son una realidad que deben asumir las organizaciones; estas herramientas forman parte del Sistema de Gestión de la Seguridad de la Información (SGSI) y deben ser adaptadas a esta nueva realidad que ya no sólo involucra personas sino que también involucra lugares de trabajo, tecnologías aplicadas e información neurálgica.

Por tanto, un SGSI es aquel sistema que comprende la política de seguridad, la estructura organizativa, los procedimientos, los procesos, y los recursos necesarios para implantar la gestión de la seguridad de la información en función de los requisitos técnicos, legales y organizativos. De esta definición tomaremos lo relacionado al aspecto de Riesgos propios de la Seguridad de la Información. Pará ello es necesario Identificar y documentar, mediante un proceso sistemático todos los posibles escenarios y riesgos a los que se está expuesto y donde el objetivo principal no es que la organización sea completamente segura, sino que le permite conocer el nivel de los riesgos a los que se expone, los ha evaluado,  los ha documentado, ha sabido gestionarlos y ha logrado minimizarlos de forma sistemática, estructurada y eficiente logrando establecer procedimientos repetibles y con la suficiente flexibilidad para adaptarse a los constantes cambios tecnológicos y operativos.

En la literatura moderna se describes diversos métodos para estructurar de forma coherente todos los pasos o las fases que se deben seguir para un correcto Análisis de Riesgo, alineado directamente al objetivo de la organización. La norma ISO 31000:2018 “Gestión del Riesgos. Principios y Directrices” [4], nos brinda un marco metodológico que brinda una guía paso a pasos para la ejecución de dicho Análisis. Esta metodología sugiere dividir en Fases el análisis, lo que permite centrar el foco de atención en cada uno de los elementos que componen Los Riesgos asociados a los sistemas y sus procesos.

  1. Nos describe una Primera Fase diseñada para Definir el Contexto. Esto permite Identificar y posteriormente calificar los riesgos englobando dos grandes grupos:
    1. Interno: Son todos los riesgos que están relacionados con todos los aspectos de control interno, tal es el caso de las funciones, la estructura organizativa, talento humano, responsabilidades, proceso de toma de decisiones, etcétera.
    1. Externo: Es todo riesgo que se deriva del contexto cultural, político, social, jurídico, reglamentario o tecnológico qué forma parte del ecosistema global en el que se desarrollan las actividades de la organización.
  2. La Segunda Fase determina el contexto y se refiere a “Dar Enfoque”
    1. Tener claro el objetivo que se desea alcanzar es de vital importancia. Es por ello que delimitar y sincronizar el contexto de los riesgos define las metas y evita que se cometan errores a la hora de especificar actividades, métodos a seguir e incluso las responsabilidades.
  3. La Tercera Fase permite Identificar los Riesgos
    1. Una vez identificado el contexto de los riesgos y dado el enfoque correcto de los mismos, el producto final será una lista de riesgos específicos y reconocidos así como los eventos que pueden generar, aumentar o incluso llegar a acelerar su probabilidad de ocurrencia y posterior impacto en la organización. A pesar de que se pueda o no tener control de esos riesgos el propósito de esta fase es generar un registro de los riesgos, sus causas y consecuencias así como el enfoque de como debe ser gestionado.
  4. En esta Cuarta Fase se realiza el Análisis de los Riesgos
    1. El propósito en este punto es evaluar en detalle la fuente de los riesgos, las proyecciones de su posible ocurrencia y su impacto, bien sea positivo o negativo.
  5. En esta Quinta Fase se procede a evaluar los Riesgos
    1. En este punto una vez definida (producto del análisis de los riesgos) la probabilidad de que exista algún riesgo inminente y determinado su nivel de impacto, permite a la organización tomar decisiones que permitan prevenir o minimizar el riesgo evaluado.
  6. Esta Sexta Fase permite definir el Tratamiento De los Riesgos
    1.  Se definen las acciones que modifiquen el valor de la probabilidad de ocurrencia o el grado de impacto a la organización, es el momento de materializar decisiones, de actuar.
  7. Séptima Fase, La Comunicación
    1. Se procede a dar a conocer los resultados parciales obtenidos y se discute cualquier información adicional resultado de los foros, debates o consultas realizadas durante el análisis de riesgos.
  8. Octava Fase, Monitoreo y Control
    1. Definidas las acciones que conforman el Plan de Gestión de Riesgos es de vital importancia la observación y la supervisión de las condiciones siempre cambiantes ya que esto puede afectar a la probabilidad de ocurrencia e incluso generar nuevos riesgos. Definir un proceso de control eficiente y continúo permite anticipar cambios inesperados y mitigar riesgos.
  9. La Novena Fase corresponde al Análisis Crítico
    1. Es una evaluación que permite determinar el impacto de las mejoras y los objetivos alcanzados por el Plan de Gestión de Riesgos, mide su eficacia o por el contrario sus falencias.
  10. La Décima Fase da relevancia al proceso de Auditoría
    1. Dado que los riesgos y las condiciones son dinámicas su consecuencias e impacto en la organización los son por igual, es por ello que el plan de gestión de riesgo debe validarse, consolidarse, monitorearse de forma continua, analizar cada cambio sensible que puede afectar la organización. La auditoría es, por excelencia, la herramienta que permite evaluar de forma objetiva los resultados de la implementación de una gestión

Al observar detenidamente todos los aspectos y elementos que engloba un Análisis de Riesgo se puede apreciar la importancia de este y lo vital de contar con este tipo de herramientas en el contexto mundial actual. Llevar a cabo un análisis de este tipo contribuye en gran medida a proteger uno de los activos más valiosos en una organización; su talento humano y su información. Además de eso proporciona un ambiente de entendimiento, conocimiento, operación del cuerpo normativo de seguridad y control de las métricas de medición de gestión, que sin duda alguna llevan a la organización al siguiente nivel organizacional.

REFERENCIAS

  1. ALNATHEER, M. (2012) Understanding and measuring information security culture in developing countries: Case of Saudi Arabia. Unpublished Doctoral Thesis. Queensland University of Technology. Disponible en: http://eprints.qut.edu.au/64070/1/Mohammed_Al_Natheer_Thesis.pdf
  2. https://www.isotools.cl
  3. https://www.escuelaeuropeaexcelencia.com/2016/07/gestion-de-riesgos-identificacion-analisis/
  4. ISO 31000:2018 “Gestión del Riesgos. Directrices”

 

Contacto: Jgvargasfii@gmail.com

Compartir en Redes Sociales
       
Tweet
Share
0 Shares