Evaluación De Riesgos En Sistemas Informáticos

Introducción.

.Gestión de riesgos de seguridad de la información. Es la que “permite a una organización evaluar lo que está tratando de proteger, y por qué, como elemento de apoyo a la decisión en la identificación de medidas de seguridad”. Categorización de activos. Es la forma en cómo la empresa tiene clasificado sus activos. Según lo expresado por ISOTools Excellence, la norma ISO 27001 señala que “todos los activos de información deben ser identificados de una forma clara y se tiene que realizar y mantener un inventario en el que aparezcan todos los activos de información importantes”.

Criticidad de activos. Esta se define en función de cuán necesario resulta para las actividades de un área o la misión de la organización. Seguridad de la información, Engloba un conjunto de técnicas y medidas para controlar todos los datos que se manejan dentro de una institución y asegurar que no salgan de ese sistema establecido por la empresa.

Desarrollo.

Otras definiciones a utilizar en esta investigación

ISO. Organización Internacional de Normalización (en inglés: International Organization for Standardization). Es una organización independiente, no gubernamental la cual está compuesta por miembros de más de 160 países, a través de los cuales reúne expertos para compartir conocimientos y desarrollar estándares internacionales basados en el consenso, que apoyan la innovación y proporcionan soluciones a los desafíos globales.

  • ISO 27005:2011. “Es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información”. SGSI. Son las siglas de Sistema de Gestión de Seguridad de la Información, concepto sobre el cual se basa la norma ISO 27001. Es Un conjunto de políticas, procedimientos, controles técnicos y físicos para proteger la confidencialidad, disponibilidad e integridad de la información. 
  • Riesgo. Es la probabilidad de que se produzca un incidente de seguridad, materializándose una amenaza y causando pérdidas o daños. 
  • Amenaza. Es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información. 
  • Vulnerabilidades. “Son las condiciones y características propias de los sistemas de una organización que la hacen susceptible a las amenazas. 
  • Impacto. El efecto de una amenaza sobre la misión de la organización y los objetivos del negocio.
  • Activos. Algo de valor para la empresa. Activos de tecnología de la información son la combinación de los activos físicos y lógicos y se agrupan en clases específicas información, sistemas, servicios y aplicaciones, personas.
  • Gestión de riesgos. Es un proceso cíclico de identificación, evaluación y toma de decisiones que busca reducir el riesgo a un nivel aceptable. 

Definiciones operacionales de la investigación.

Periodicidad de concienciaciones. Periodicidad es la “frecuencia con la que aparece, sucede o se realiza una cosa repetitiva”. . Concienciación es la “acción de concienciar a alguien o de concienciarse de algo”, es decir, es la acción de “hacer adquirir conciencia o conocimiento de algo”. Por lo que partiendo de las definiciones anteriores se puede decir que la periodicidad de las concienciaciones es la frecuencia con la que se realizan las actividades de enseñanza/aprendizaje, en este caso, de seguridad de la información.

Criterios de gestión de riesgos de seguridad de la información. El criterio es la norma, regla o pauta, que determinada persona seguirá para conocer la verdad o falsedad de una cosa o cuestión. En base a la definición anterior, el término criterios de gestión de riesgos de seguridad de la información se refiere a las pautas que se toman en cuenta para gestionar (analizar, evaluar y tratar) los riesgos de seguridad de la información.

Metodologías de gestión de riesgos de seguridad de la información. Al hablar de metodología se está hablando de métodos, “grupo de mecanismos o procedimientos racionales, empleados para el logro de un objetivo”. Por lo que metodologías de gestión de riesgos de seguridad de la información son los métodos utilizados para gestionar los riesgos de seguridad de la información. Ejemplo de esas metodologías son OCTAVE y MAGERIT.

Riesgos de seguridad de la información. Tomando como base las definiciones de riesgo y de seguridad de la información, se puede entender como riegos de seguridad de la información la probabilidad de que ocurra un incidente que afecte las medidas y técnicas utilizadas para proteger la información de posibles pérdidas y/o daños.

Elementos para determinar controles de riesgos. El control de riesgo tiene como finalidad “analizar el funcionamiento, la efectividad y el cumplimiento de las medidas de protección para determinar y ajustar sus deficiencias”. (Gestión de Riesgo en la Seguridad Informática, 2019) Por otra parte, un elemento es un “fundamento, medio o recurso necesarios para algo.” (Real Academia Española, 2019). Por lo que al mencionar elementos para determinar controles de riesgos se está hablando de aquello que es necesario para establecer o definir las medidas de protección que mitigarán los riesgos.

Marco Teórico

Seguridad de la Información

Antes de hablar de seguridad de la información es necesario establecer la diferencia existente entre esta y seguridad informática, ya que ambos términos suelen asociarse, erróneamente, como sinónimos. Por un lado, “la seguridad informática, se refiere a la protección de las infraestructuras de las tecnologías de la información y comunicación…, y por el otro, la seguridad de la información se refiere a la protección de los activos de información.

La seguridad de la información es un conjunto de medidas que toman las empresas con la finalidad de proteger su información ante cualquier amenaza que pueda alterar su integridad, disponibilidad y confidencialidad . Dada la importancia que reviste la información que manejan las empresas y los riesgos a los cuales puede estar expuesta, es preciso saber cómo mantenerla protegida. Hoy día las vulnerabilidades son más comunes y sofisticadas, al igual que los riesgos internos de la empresa, a los cuales hay que prestarles mucha atención ya que los ataques no siempre vienen de fuera sino de dentro.

Para proteger la información de manera adecuada, es preciso no solo tomar en cuenta la parte técnica, sino que también se debe realizar una gestión en la que se involucren los sistemas de protección y controles necesarios para la misma. Para lograr esto es necesario contar con un Sistema de Gestión de Seguridad de la Información (SGSI) cuya implantación “garantiza el tratamiento de los problemas de seguridad de la información según las mejores prácticas actualmente aceptadas” . Un SGSI es una herramienta que contribuye a minimizar los riesgos, mediante la identificación y valoración de los activos y los riesgos relacionados a los mismos, tomando en cuenta el impacto para la organización y de este modo ejecutar los controles más eficientes que vayan acorde con las estrategias del negocio.

Activos de Información

Activo es todo aquello que represente algún valor para las empresas. Los activos de tecnología de la información son una mezcla entre los activos físicos y lógicos, agrupándose en categorías específicas. Estos se dividen en las siguientes categorías:

  • Información: se refiere a datos documentados en papel o en medios electrónicos.
  • Sistemas: es una combinación de la información, el software y hardware que procesa y almacena la información.
  • Servicios y aplicaciones se relaciona con las aplicaciones y servicios de software que procesan, almacenan o transmiten la información.
  • Personas: se refiere a aquellas personas que están en la institución y que se distinguen por sus conocimientos, experiencia y habilidades únicas, por lo cual son difíciles de reemplazar. 

ISOTools indica que de acuerdo a la norma ISO/IEC 27001 los activos presentan características diferentes según el estado, la materia, los niveles de confidencialidad, la integridad y la disponibilidad. En ese sentido se pueden mencionar una serie de subestados como son: subestado de autentificación, subestado de confidencialidad, subestado integridad, subestado disponibilidad; cada uno mostrando características acorde al pilar de la información que representa.

La criticidad de un activo se define en base a la necesidad o dependencia que un área tenga para el desempeño sus actividades, o la organización para el logro de su misión. Para determinar la criticidad del mismo, existe una valoración estandarizada en la que el dueño de la información lo clasifica acorde a las tres características principales de la seguridad de la información (integridad, confidencialidad, disponibilidad). 

Una manera de cómo hacerlo podría ser teniendo, por ejemplo, una escala de valor del 0 al 3, donde 0 es nula, 1 es baja, 2 es media y 3 es alta. Dependiendo del activo, se le asigna un valor a cada característica para luego sacar un promedio de esos valores; el resultado final dirá la criticidad del activo en base a la escala de valores que se tenía definida en un principio. (Universidad Nacional de Luján, 2019)

Riesgos que Afectan la Seguridad de la Información

Para que se presente un riesgo, deben existir dos elementos en conjunto: amenazas y vulnerabilidades. Una vulnerabilidad es una debilidad en los activos de la información facilitando la presencia de las amenazas. Una amenaza es una situación no deseable, que de ocurrir, trae consecuencias negativas sobre los activos de la información, afectando su disponibilidad. Dicho esto, el riesgo es la probabilidad de que se materialice una amenaza, provocando pérdidas y daños como por ejemplo: interrupción en el servicio, pérdidas económicas, daño reputacional, entre otros (INCIBE, 2015).

Según lo indicado por Oceano IT (2019) algunas de las amenazas más comunes son:

  • Malware: código malicioso en el que varía el funcionamiento del computador sin que el usuario pueda notarlo. Tiene la capacidad de corromper y/o destruir algunos archivos que se hayan guardado en el disco duro.
  • Spyware: es una especie de espía que se instala en la computadora substrayendo y transmitiendo información valiosa como cuentas bancarias, claves, etc., esto sin que el usuario lo pueda notar.
  • Ransomware: aplica para computadoras como para teléfonos móviles. El atacante bloquea el dispositivo (computadora o teléfono) encriptando la información, es decir, la pone en un formato no legible, y deja un mensaje donde solicita un rescate (dinero) para poder liberar la información.
  • Phishing: es un tipo de amenaza que llega a través del correo electrónico en el que se le solicita al usuario acceder a una página web, como por ejemplo la de un banco, que parece ser auténtica, para que actualice información personal mientras la misma le es robada.
  • Troyanos: es un tipo de código malicioso que al ejecutarse le proporciona al atacante la capacidad de controlar el dispositivo infectado de manera remota.

Pero, ¿Cómo se pueden evitar o mitigar las amenazas y por ende, los posibles riesgos? Se debe realizar un análisis de riesgo, y una vez terminado, determinar el tratamiento que se les dará a los mismos, es decir, hay que hacer una debida gestión de riesgos. El análisis de riesgo consiste en identificar los activos de la empresa, cuáles son sus amenazas, la probabilidad de que ocurran y su posible impacto. En este se verifica el nivel de riesgo que acepta la organización. En cuanto al tratamiento de los riesgos, se identifican aquellos que están por encima del nivel deseado para así tomar la mejor decisión de cómo disminuirlo. En esta decisión se toma en cuenta que el coste del tratamiento que se le dará no supere el coste del riesgo disminuido. Dependiendo el resultado, se decide evitarlo, mitigarlo, transferirlo a terceros o aceptarlo. (INCIBE, 2015)

Controles de Riesgo

INCIBE define los controles como medidas de protección para reducir el riesgo. Los controles también se definen como salvaguardas que contribuyen en la reducción del impacto que produce una amenaza o en todo caso, la frecuencia con que esta aparece.

Estos se clasifican en controles preventivos, controles detectivos, controles de protección y controles correctivos.

  • Controles Preventivos: actúan sobre la causa del riesgo con la finalidad de disminuir su probabilidad de ocurrencia. Constituyen la primera línea de defensa.
  • Controles Detectivos: Son la segunda línea de defensa y se utilizan para verificar la eficacia de los controles preventivos. Alertan sobre la presencia de los riesgos permitiendo tomar acciones inmediatas.
  • Controles de protección: se utilizan para minimizar los efectos de los riesgos, requieren refuerzo en capacitación y son más costosos que los controles preventivos.
  • Controles correctivos: se utilizan cuando los controles anteriores no funcionan y permiten mejorar su eficiencia. Son más costosos porque actúan después que el daño está hecho. Este tipo de control suele ser administrativo y requieren de políticas o procedimientos para su ejecución. 

Antes de implementar un control se deben identificar los controles existentes para determinar si será necesario o no implementar uno nuevo. A medida que se van identificando, es conveniente que se pruebe su correcto funcionamiento y en base al resultado tomar una decisión más objetiva (MINTIC, 2019).Llegado el momento, se deben tomar en cuenta los siguientes puntos: efectividad del control a implementar, adecuación a las leyes y normas vigentes, impacto operacional de las modificaciones, confiabilidad del control seleccionado (Universidad Nacional de Luján, 2019).

Gestión de Riesgos de Seguridad de la Información

Toda actividad que se preocupa por mantener los riesgos por debajo del umbral que se ha fijado, es parte de la Gestión de de Riesgos. La Gestión de Riesgos está compuesta por dos actividades básicas que son: el análisis de riesgo y el tratamiento de los riesgos. 

El análisis de riesgo consta de varios pasos o fases, las cuales pueden variar dependiendo de la metodología utilizada. Estas fases son:

Fase 1- Definir el alcance: ¿dónde se van analizar los riesgos?

Fase 2- Identificar los activos: identificar los activos más importantes y la relación que guardan con el área o proceso objeto de estudio.

Fase 3- Identificar amenazas: dado al gran número de amenazas que existen, se debe mantener un enfoque práctico y aplicado.

Fase4- Identificar vulnerabilidades y salvaguardas (controles): En esta fase se estudian las características de los activos para así identificar sus vulnerabilidades.

Fase5- Evaluar el riesgo: al llegar a esta fase ya se cuenta con un inventario de activos, las amenazas a las cuales están expuestos, sus vulnerabilidades y los controles que se tienen; por lo que se puede calcular el riesgo. El riesgo es igual a Impacto x Probabilidad.

Fase6- Tratar el riesgo: Una vez que se tenga el riesgo, existen 4 estrategias que se le pueden aplicar; estas son: transferirlo a un tercero, eliminarlo, asumirlo o colocar los controles necesarios para mitigarlo. (INCIBE, 2017b)

Metodologías para la Gestión de Riesgos

Para la gestión de riesgos de seguridad de la información existen diversas guías de buenas prácticas y/o metodologías que pueden ser adoptadas por las empresas tomando en cuenta la naturaleza del negocio. Dentro de las metodologías más destacadas internacionalmente están:

  • ISO 31000: es una norma internacional que fue creada por la International Organization for Standardization y se caracteriza por por la identificación, análisis, evaluación, tratamiento, comunicación y seguimiento de cualquier tipo de riesgo que afecte a la empresa.
  • MAGERIT: esta metodología fue elaborada por el Consejo Superior de Administración Electrónica en España, se caracteriza por evaluar cuánto pone en juego una compañía en un proceso y cómo protegerlo.
  • OCTAVE: es una metodología de reconocimiento internacional y fue desarrollada por Software Engineering Institute. Se caracteriza por ofrecer un conjunto de criterios a través de los cuales se pueden crear otros.
  • NST 800-30: Metodología de reconocimiento internacional y creada por National Institute of Standards and Technology. Busca asegurar los sistemas de información.
  • CRAMM: es reconocida internacionalmente, elaborada por Central Computer and Telecommuications Agency (CCTA). Se caracteriza por la identificación y valoración de activos, amenazas y vulnerabilidades, así como también la selección de contramedidas.
  • ISO 27005: norma internacional que fue elaborada por la International Organization for Standardization. Ofrece recomendaciones y directrices para la gestión de riesgos de seguridad de la información, siguiendo los requisitos de ISO 27001.

Conclusión.

Una buena y adecuada gestión de riesgos reduce costes en la empresa, incrementa el nivel de satisfacción de los clientes y empleados, conduce al logro de los objetivos organizacionales, contribuye a evitar situaciones que generan pérdidas inesperadas.

07 Jun 2021
close
Tu email

Haciendo clic en “Enviar”, estás de acuerdo con nuestros Términos de Servicio y  Estatutos de Privacidad. Te enviaremos ocasionalmente emails relacionados con tu cuenta.

close thanks-icon
¡Gracias!

Su muestra de ensayo ha sido enviada.

Ordenar ahora

Utilizamos cookies para brindarte la mejor experiencia posible. Al continuar, asumiremos que estás de acuerdo con nuestra política de cookies.