Análisis de riesgos informáticos
Cyberseguridad Solutions. (2023, 20 julio). Importancia del análisis de vulnerabilidades en ciberseguridad #ciberseguridad #cybersecurity [Vídeo]. YouTube. https://www.youtube.com/watch?v=C4TEe7q0Iv8
Lifeder Edu. (2022, 20 agosto). ¿Qué son las TIC y para qué sirven? Tipos y ejemplos (Tecnologías de la Información y Comunicación) [Vídeo]. YouTube. https://www.youtube.com/watch?v=q8MeNBwRtPU
GESTIÓN DE LOS RIESGOS INFORMÁTICOS
ISO 27005:2018
La familia de normas ISO/IEC 27000 agrupa un conjunto de estándares internacionales desarrollados por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), específicamente diseñados para la implementación, gestión y mejora de los Sistemas de Gestión de Seguridad de la Información (SGSI). Estas normas proporcionan un marco integral y estandarizado para proteger la información, gestionar riesgos y garantizar la confidencialidad, integridad y disponibilidad de los datos en las organizaciones.
Entre los estándares más destacados de esta familia se encuentran:
ISO/IEC 27001: Establece los requisitos para implementar un SGSI.
ISO/IEC 27002: Ofrece directrices y mejores prácticas para los controles de seguridad de la información.
ISO/IEC 27005: Proporciona orientación para la gestión de riesgos de seguridad de la información.
ISO/IEC 27000: Define los términos y conceptos clave utilizados en toda la serie.
En conjunto, estas normas buscan estandarizar y optimizar los procesos de seguridad de la información, permitiendo a las organizaciones gestionar de manera efectiva sus activos de información, mitigar riesgos y cumplir con los requisitos legales, regulatorios y contractuales.
Es una actividad que debe llevarse a cabo de manera permanente y sistemática en una organización, centrándose en el análisis, planificación, implementación, supervisión y evaluación de los procesos establecidos en relación con la política de seguridad de la información. Este ciclo continuo permite identificar riesgos, implementar controles adecuados y verificar su efectividad, asegurando que la organización esté preparada para enfrentar posibles amenazas y vulnerabilidades. Además, fomenta una cultura de mejora constante, adaptándose a los cambios tecnológicos y normativos, y garantizando la protección de los activos de información en todo momento.
Norma ISO 31000:2018
Define los principios y lineamientos generales para la gestión del riesgo en cualquier tipo de organización, asegurando un enfoque estructurado y adaptable a diferentes contextos. Además, promueve la toma de decisiones informadas y la mejora continua en la identificación, análisis y mitigación de riesgos.
Procedimiento para reconocer, analizar y gestionar los riesgos asociados a la seguridad de la información y las tecnologías de la información. Este proceso permite minimizar vulnerabilidades y garantizar la confidencialidad, integridad y disponibilidad de los datos. Además, fomenta la implementación de controles y estrategias de mitigación alineadas con las mejores prácticas del sector.
La gestión de riesgos informáticos tiene como finalidad disminuir o controlar los riesgos hasta un nivel tolerable para la organización, asegurando la continuidad operativa ante posibles incidentes. Para ello, se implementan estrategias de prevención, detección y respuesta, permitiendo una adaptación proactiva frente a amenazas. Asimismo, se refuerza el cumplimiento de normativas y estándares de seguridad para una protección integral.
Confidencialidad: consiste en resguardar la información para evitar su acceso por personas no autorizadas.
Integridad: garantiza que la información se mantenga intacta y protegida contra alteraciones no autorizadas.
Disponibilidad: asegura que la información esté accesible para los usuarios autorizados en el momento en que la requieran.
Los riesgos no es responsabilidad exclusiva a las TIC, es decir, es inherente a las actividades del ser humano en general en la empresa
PROCESOS DE LA GESTION DE RIESGOS
Identificar los riesgos
La organización enfrenta diversos riesgos, como la pérdida de datos, ciberataques, desastres naturales y fallos en los sistemas. Estos eventos pueden comprometer la continuidad del negocio y afectar la confidencialidad, integridad y disponibilidad de la información. Por ello, es fundamental implementar medidas preventivas y planes de respuesta para mitigar su impacto.
Evaluar los riesgos
Se evalúa la posibilidad de que estos riesgos se materialicen y el efecto que podrían generar en la organización. Este análisis permite priorizar amenazas y establecer estrategias adecuadas para su mitigación. Además, facilita la toma de decisiones informadas y la asignación eficiente de recursos para reducir vulnerabilidades.
Vulnerabilidad
Situación o debilidad latente en el sistema
Superficie de ataque
La sumatoria total de las vulnerabilidades
Exploits
Programas, herramientas o técnicas que se pueden usar para acceder a información o a un sistema al que no se tiene acceso autorizado
Amenaza
Situación o peligro, ya sea potencial o real, que afecte a cualquier activo o a algún componente del sistema de seguridad de la información
Mitigar los riesgos
Se deben tomar medidas como la implementación de controles de seguridad, la adopción de políticas y procedimientos de seguridad, y la formación y concienciación del personal
Monitorear y revisar
Es fundamental supervisar de manera constante los riesgos y evaluar periódicamente las estrategias de mitigación para garantizar su eficacia. Este proceso permite adaptarse a nuevas amenazas y mejorar los controles de seguridad. Además, contribuye a la resiliencia organizacional y al cumplimiento de normativas vigentes.
Administración de Riesgos
Aceptación del riesgo
El costo de gestionar y controlar los riesgos puede ser mayor que simplemente asumirlos. Sin embargo, no abordar adecuadamente los riesgos puede derivar en consecuencias más graves a largo plazo. Una evaluación adecuada permite encontrar un equilibrio entre inversión y protección, evitando pérdidas significativas para la organización.
Evitar riesgos
Se evita cualquier exposición al riesgo
Limitar el riesgo
Es la estrategia de uso más frecuente por las organizaciones
Transferencia de riesgos
Los incidentes relacionados con los ataques a la infraestructura de los sistemas informáticos se valoran en términos monetarios y se transfieren a un tercero, usualmente una aseguradora. Este enfoque permite mitigar los costos derivados de posibles daños, garantizando una protección financiera frente a eventos inesperados. Además, facilita la continuidad del negocio al compartir el riesgo con entidades especializadas.
Enfoques en el análisis de riesgo
Enfoque cuantitativo
Este método emplea herramientas matemáticas y análisis cuantitativos para medir y valorar el nivel de riesgo.
Utiliza la recolección de información numérica, como el valor de los recursos informáticos, la frecuencia estimada de incidentes de seguridad y los impactos económicos potenciales, para realizar su evaluación.
El enfoque cuantitativo requiere una gran cantidad de datos y un análisis minucioso para llegar a resultados precisos.
Elementos del enfoque Cuantitativo
Análisis de probabilidad
Análisis de consecuencias
Simulación a través de modelos de computador
Enfoque cualitativo
Este enfoque se enfoca en evaluar el riesgo mediante la evaluación subjetiva de factores cualitativos, como reputación, confidencialidad E integridad de la información.
Se basa en la experiencia y conocimiento de expertos en seguridad informática, y utiliza técnicas como entrevistas y cuestionarios para obtener información.
utiliza la experiencia y conocimiento de expertos en seguridad informática, y se basa en técnicas como entrevistas y cuestionarios para recopilar información.
Elementos del enfoque Cualitativo
Análisis de debilidades, oportunidades, fortalezas y amenazas (DOFA)
Revisión de literatura y experiencias relacionadas con el área de gestión .
Lluvia de ideas
Entrevistas y cuestionarios estructurados
Evaluación en grupos de varias áreas al interior de la organización
Conceptos de especialistas y expertos
CATEGORÍAS GENERALES DE ANÁLISIS
Análisis de amenazas
Análisis de vulnerabilidades
este análisis es identificar las debilidades y vulnerabilidades presentes en los sistemas y aplicaciones de la organización que puedan ser explotadas por atacantes
Análisis de impacto
se evalúa el impacto que un incidente de seguridad podría tener en la organización, como la pérdida de datos, la interrupción del servicio o la violación de la privacidad.
Análisis de riesgos
Esta categoria combina la información obtenida en los análisis de amenazas, vulnerabilidades e impacto, para determinar la probabilidad de que un incidente de seguridad ocurra y el impacto que tendría en la organización.
Análisis de costo-beneficio
se evalúan las medidas de seguridad que se pueden implementar para mitigar los riesgos identificados, y se comparan los costos de implementación con los beneficios obtenidos en términos de reducción de riesgos.
COBIT, ITIL y ISO
El modelo de auditoría o intervención en la gestión de TI y sistemas de información se enfoca en asegurar que todos los sectores de la empresa, desde usuarios hasta administradores y auditores, operen bajo prácticas estándar y seguras. ITIL (Biblioteca de Infraestructura de Tecnologías de Información) proporciona un marco de mejores prácticas para la gestión de servicios de TI, ayudando a optimizar procesos y garantizar la calidad del servicio. Por su parte, ISO (Organización Internacional de Normalización) establece normativas globales que buscan garantizar la seguridad, calidad y eficiencia en la gestión de tecnologías de información, apoyando el cumplimiento de estándares internacionales.