martes, 8 de diciembre de 2020

3.4.3 Protección Legal


3.4.3 Protección Legal

La seguridad informática es en sí mismo un concepto amplio y diverso que abarca numerosas derivadas. La seguridad se puede centrar en la prevención de ataques y situaciones de riesgo para los sistemas de una organización o hacerlo más en los mecanismos de mitigación de los efectos que un ataque pueda ocasionarle a una empresa o particular. Si tuviéramos que definir qué son las políticas de seguridad informática podríamos empezar negando aquello que no son, es decir, afirmar que no son una descripción técnica de mecanismos ni una suerte de código penal que sancione, y al mismo tiempo conduzca, la labor de los empleados. Por el contrario, sí que tienen que ver con una descripción amplia, basada en objetivos globales, de los bienes y valores que deseamos proteger y la motivación de dicho deseo.

Políticas de Seguridad Informática

Así, ante la cuestión planteada, ¿Qué son las políticas de seguridad informática?, se han manejado tradicionalmente distintas definiciones y todas ellas tienen en común su carácter restrictivo, en la medida en que limitan la actuación de los empleados durante la operación general del sistema y también su alto nivel de abstracción, de modo que vienen a ser más que nada una declaración de intenciones, un asentamiento de las bases que deben definir y delimitar las responsabilidades en las distintas actuaciones que se requerirán en caso de amenaza o ataque. En cualquier caso, estas políticas van a tener su concreción en toda una serie de normas, protocolos, reglamentos, convenciones… en las que, principalmente, se fijará el modo de comunicación con los usuarios y también entre los empleados.

¿Cómo debe ser una Política de Seguridad Informática eficaz?

Antes de definir qué son las políticas de seguridad informática, hay que saber que para ser eficaces deben reunir una serie de características relacionadas con su holismo, es decir, aspirar a cubrir todos los aspectos, su capacidad de adaptación a las necesidades de cada organización y a los recursos de que se dispone y, por último, ser atemporal, en el sentido de que debe ser susceptible de ser aplicada en cualquier momento. Además, cualquier política de seguridad debe incorporar y contemplar elementos claves como la integridad de los programas, su disponibilidad, la privacidad de las operaciones y los archivos y, finalmente, ejercer un control eficaz y efectivo, garantizar la autenticidad de las comunicaciones y los protocolos y ser útil, pues ninguna medida coercitiva se justifica a sí misma si no es en virtud del principio de utilidad.

Aplicación práctica en las empresas

También podemos llegar a saber qué son las políticas de seguridad informáticas si echamos un vistazo a alguna de sus aplicaciones prácticas más usuales. Así, es habitual que las grandes empresas exigen a sus empleados realizar respaldos de la información en un período de tiempo variable pero generalmente corto, no descargar archivos de procedencia desconocida o en páginas web que no ofrezcan garantías suficientes, no abrir ficheros adjuntos de remitentes desconocidos o de mensajes no solicitados, no visitar sitios de contenido ilícito, no proporcionar datos personales y no utilizar la misma contraseña para diferentes páginas web o compartirlas con compañeros de trabajo.

Otras cuestiones concretas y que pudieran parecer relativamente obvias son la prohibición de una excesiva navegación por Internet con fines más allá del puro trabajo, la descarga ilegal de software licenciado, la transmisión a terceros de información confidencial de la empresa o la inutilización de sistemas o equipos informáticos, es decir, cuestiones muy básicas, de sentido común, pero que no siempre se dan.

La creación de las políticas conlleva la creación de reglamentos de seguridad.

Las políticas de seguridad deben considerar:
  • El alcance de las mismas, cubriendo todos los aspectos relacionados.
  • Objetivos y descripción de los elementos involucrados, protegiendo todos los niveles: físico, humano, lógico y por supuesto logístico.
  • Responsabilidades de los servicios y recursos informáticos implicados.
  • Requerimientos mínimos de seguridad, incluyendo la estrategia a seguir en caso de fallo.
  • Definición de violaciones y sanciones.
  • Responsabilidades de los usuarios y sus accesos.
Las políticas de seguridad informática deben utilizar un lenguaje sencillo, sin tecnicismos y ambigüedades, que puedan ser entendidos por todos. Deben ser actualizadas periódicamente, por ejemplo en cambios organizacionales como son el aumento de personal, desarrollo de nuevos negocios, entre otros.

Los parámetros para establecer las políticas son:
  • Analizar los riesgos a nivel informático, incluyendo hardware, software, los propios usuarios y la interacción entre todos.
  • Reunirse con los departamentos de los distintos recursos.
  • Comunicar a todo el personal afectado del desarrollo de las políticas.
  • Identificar los responsables de cada departamento en la toma de decisiones.
  • Revisar periódicamente los procedimientos y operaciones de la empresa.
  • Detallar el alcance de las políticas, basándonos en los recursos que deben ser protegidos y el valor de los mismos.
Es básico, para que las políticas de seguridad surtan efecto en una organización, que dichas políticas sean aceptadas y para ello deben integrarse en el modelo de negocio de la empresa.

Por otro lado, una buena política de seguridad informática debe atender a un análisis de riesgos informáticos que permitirá, al mismo tiempo, involucrar a las áreas que poseen los recursos y la experiencia, así como comunicar a todo el personal los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.

Principios de las Políticas de Seguridad Informática

Insistir en que más allá de saber qué son las políticas de seguridad informática, lo verdaderamente relevante es conocer cuáles son los principios que rigen estas políticas y que terminan haciéndolas eficaces. Así, es esencial fijar un principio de responsabilidad individual, unas reglas claras de autorización (quién y de qué forma puede emplear los recursos), partir del mínimo privilegio (cada uno puede usar únicamente lo imprescindible para llevar a cabo su trabajo), la separación de las obligaciones, en el sentido de que las tareas deben estar divididas entre las diferentes personas relacionadas con la actividad o función reduciendo las posibilidades de sufrir un ataque; el de auditoría, que remarca que todas las actividades y los recursos requeridos deben ser monitoreados desde el inicio y hasta finalizado el proceso, y el de redundancia o énfasis en la realización de copias de seguridad creadas cada poco tiempo y almacenadas en lugares distintos.



* Marco Legal y Jurídico de la Seguridad Informática




Fuentes Consultadas:

El valor de las políticas de seguridad informática SeguroDe. segurode.com. (01 de septiembre de 2017). ¿QUÉ SON LAS POLÍTICAS DE SEGURIDAD INFORMÁTICAS?.

IEDGE Business School. iedge.eu. (2020). IEDGE - Políticas de Seguridad Informática.

3.4.2 Amenazas de las que se tiene que proteger los Activos


3.4.2 Amenazas de las que se tienen que proteger los Activos


La misión de proteger a los diferentes sistemas de información es con el fin de que éstos se encuentren seguros sin que sean susceptibles de ser atacados frente a diferentes amenazas. 

Pese a que son muchísimas todas las que pueden atacar aun sistema informático, a continuación se exponen las amenazas más comunes que tiene la seguridad informática y de las cuales se deben proteger los activos de la empresa u organización:
  • Los propios usuarios: la falta de conocimientos o la escasa formación en materia de seguridad puede ocasionar situaciones no deseables. Encriptar las memorias usb, respetar la normativa vigente...
  • Accidentes de trabajo: el lugar de trabajo debe de cuidarse y se deben de respetar las normas exigidas. No tomes líquidos o comidas en tu puesto de trabajo, mantén los cables ordenados, cierra la sesión de tu ordenador cada vez que te muevas... 
  • Fallos en la elaboración del software: un software construido pero con errores informáticos es un gran agujero donde hackers y crackers se aprovechan de dicha vulnerabilidad. 
  • Intrusos: en la seguridad informática se debe siempre de controlar el acceso tanto a los medios electrónicos (bases de datos, programas de trabajo...) como a los medios físicos (el acceso a las salas donde se encuentran los racks o donde se almacenan las grabaciones de las cámaras de seguridad por ejemplo). Un acceso por parte del personal no autorizado para ello puede causar daños graves.
  • Catástrofes naturales: son imprevistas, la mayoría de las veces ni se espera, pero las catástrofes y desastres naturales son una amenaza frente a la protección de los sistemas. En este caso lo mejor es la prevención.


Fuentes Consultadas:

TecnoMental. tecnomental.com. (16 de julio de 2018). ¿Qué es la seguridad informática? ¿Qué protege? - Amenazas de la seguridad informática.

3.4.1 Activos a proteger


3.4.1 Activos a proteger

La forma en la que debemos garantizar la seguridad informática de nuestros sistemas varía según sea personal o empresarial pero los componentes primordiales en sí serán:
  • El Hardware: 
Aquella parte tangible como los ordenadores, periféricos como impresoras o escáneres (sobre todo si están conectados a redes), memorias de almacenamiento masivo... Cualquier tipo de amenaza existente en este aspecto podría poner en riesgo la información. Si las memorias USB no se encuentran cifradas alguien podría intentar agenciarse con dicha información.
  • El Software:
Aquellos programas de ordenadores como el propio sistema operativo que se use y las aplicaciones que se tengan instaladas. En ellos se crean, manipulan y almacenan información como pueden ser los datos de los clientes, correos electrónicos, fotografías digitales, imágenes corporativas... En una empresa un trabajador no deberá instalar ningún tipo de aplicación que no sea necesaria para desempeñar su labor, las licencias de las propias aplicaciones deben ser legítimas y originales, lo ideal también sería cuidar cómo se acceden a algunas páginas webs que contengan algún tipo de malware.
  • Los Datos:
Este será de todos los activos el que tomará mayor importancia. Un componente hardware como un ordenador o una tarjeta de red si le ocurre algo puede que nos interceda en nuestro trabajo o proyecto, incluso un software si es atacado o vulnerado siempre podemos o desinfectarlo o poner medidas para protegerlo pero los datos serían la base de una pirámide claramente en cuanto a los activos que debemos de proteger. Tantos aquellos datos que se encuentren en almacenamiento interno o externo como los que se trasmitan a través de redes informáticas. En el caso de que la protección sea para garantizar la seguridad de la información entonces aquí ya tendríamos que encargarnos por velar la seguridad de los elementos no automatizados como pueden ser los documentos físicos que guarden información y contengan datos de carácter personal. Hay que tener claro que si estos desaparecen de la empresa, se expondrían a una filtración de datos que si bien se tiene que cumplir con la RGPD (Reglamento General de Protección de Datos) podrían acarrear infracciones quedando sancionado al negocio con cifras bastante elevadas. Incluso una vez filtrada la información se estará cediendo a la competencia datos de los cuales podría repercutir en la misma empresa muy negativamente según la estrategia de negocios que se quiera emplear y por ello el futuro de la propia empresa.

Cada elemento en sí tiene su importancia, pero también se le aplicarán a estos las medidas de seguridad acorde a su contexto y necesidad. En el hardware, si hacemos referencia al disco duro del equipo de una persona en su puesto de trabajo no será tan importante como el disco duro del servidor donde se almacenen las copias de seguridad pues, este último, guarda datos de toda la empresa y por supuesto los backups sirven de respaldo de todo el trabajo que se esté haciendo. Si el disco duro del equipo de un trabajador tiene problemas siempre tendrá su copia reservada en el servidor, por lo tanto este es un claro ejemplo de que la prioridad en hardware será mayor en el servidor que en un equipo informático.

En el caso del software, un ordenador que desempeñe tareas laborales tendrá un exhaustivo y riguroso control pues el administrador de sistemas tendrá que asegurar que no se puedan instalar aplicaciones ajenas al uso para el que el equipo está destinado pues si le damos el control total al empleado sobre su ordenador el mismo, de manera intencionada o no, podría instalar aplicaciones de descarga u otros con software malicioso y romper por completo la confidencialidad de todos los datos de la propia empresa. En un ordenador personal es la propia persona quien decide instalar el software sea ilícito o no siendo él mismo el responsable de sus posibles pérdidas de datos o filtración de información personal pero en cierta forma no está poniendo en riesgo a terceros (como podría ser a la empresa).

Para estar lo más protegido posible es imprescindible usar todas las herramientas como es la formación en cuanto a la seguridad informática y de los datos, realizar auditorías para asegurar que se está cumpliendo con lo que la ley así lo solicita y para evitar cualquier tipo de incidentes es ideal ver todas las posibilidades en cuanto a la prevención de riesgos para así evitar males peores.



* Los Activos de Seguridad Informática




Fuentes Consultadas:

TecnoMental. tecnomental.com. (16 de julio de 2018). ¿Qué es la seguridad informática? ¿Qué protege? - ¿Qué activos o componentes debemos proteger en la seguridad informática?.

García Juan Pablo Prezi. prezi.com. (12 de junio de 2017). UNIDAD 3 LA SEGURIDAD INFORMATICA.

lunes, 7 de diciembre de 2020

3.4 Evaluación de Riesgos


3.4 Evaluación de Riesgos

La evaluación de riesgos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. 

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

Introducción

Los riesgos de seguridad informática deben ser considerados en el contexto de la empresa u organización, y las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo, producción, operaciones, administración, TI, finanzas, etcétera y los clientes deben ser identificados para lograr una imagen global y completa de estos riesgos.

Cada organización tiene una misión. En esta era digital, las organizaciones que utilizan sistemas tecnológicos para automatizar sus procesos o información deben de ser conscientes de que la administración del riesgo informático juega un rol crítico.

La meta principal de la administración del riesgo informático debería ser "proteger a la organización y su habilidad de manejar su misión” no solamente la protección de los elementos informáticos. Además, el proceso no solo debe de ser tratado como una función técnica generada por los expertos en tecnología que operan y administran los sistemas, sino como una función esencial de administración por parte de toda la organización.

Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a grandes rasgos que la administración de riesgos es el proceso de identificación, evaluación y toma de decisiones para reducir el riesgo a un nivel aceptable.

En el análisis de riesgo informático es necesario identificar si existen controles que ayudan a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir, la vulnerabilidad será de riesgo no controlado.

Dentro de la evaluación del riesgo es necesario realizar las siguientes acciones: Calcular el impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de forma cuantitativa (asignando pesos) o de forma cualitativa (matriz de riesgos).

El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas.
  • Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).
  • Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.
  • Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto.

¿En que consiste la el análisis de riesgos informáticos?

Cuando se habla de ciberseguridad, el análisis de riegos informáticos es la evaluación de los distintos peligros que afectan a nivel informático y que pueden producir situaciones de amenaza a la empresa u organización, como robos o intrusiones que comprometan los datos o ataques externos que impidan el funcionamiento de los sistemas propiciando periodos de inactividad empresarial.

El análisis y gestión de los riesgos previene a las empresas de este tipo de situaciones negativas para su actividad y recoge una serie de factores fundamentales para su consecución.

Identificación de Activos

Para realizar un análisis de riesgos efectivo, el primer paso es identificar todos los activos de la empresa. Estos activos incluyen todos los recursos relacionados con la gestión e intercambio de información de la empresa, como software, hardware, vías de comunicación, documentación digital y manual e incluso de recursos humanos.

Riesgos y Amenazas

Una vez se identifiquen todos los activos de información que componen la empresa, deben definirse las amenazas a las que pueden estar expuestos. Estas amenazas pueden ser de diferente índole, como ataques externos, desastres naturales o errores humanos. 

  • Ataques externos. 
Los ciberdelincuentes siempre tienen en su punto de mira a las empresas y sus sistemas, con el objetivo de robar información (bancaria o de otra índole comercial o personal), tirar sus sistemas o utilizar sus recursos. Dos de las mayores amenazas que reciben las empresas hoy en día son ataques de denegación de servicio DDoS (inutilizan los sistemas informáticos de la empresa) o ataques con malware de tipo ransomware (encriptan los datos de la empresa, solicitando un rescate económico en criptomonedas para liberarlos).
  • Errores humanos.
La intervención humana en los procesos informáticos siempre está expuesta a que se cometan errores (intencionados o no intencionados). Por ejemplo, un empleado sin los conocimientos suficientes, o con privilegios superiores a los de su función, puede realizar acciones que comprometan los datos o produzcan un malfuncionamiento en los sistemas.
  • Desastres naturales.
Es posible que se den situaciones que pongan en peligro los activos informáticos de la empresa como inundaciones o sobrecargas en la red eléctrica.
  • Situaciones extraordinarias.
Las crisis a menudo reduce los niveles de alerta y protección y llevan a los ciberdelincuentes a aprovecharse de esta situación operando bajo esquemas maliciosos. Por esta razón es importante que las empresas estén atentas a mensajes fraudulentos relacionados con la crisis y se recomienda aumentar la conciencia ante el surgimiento de nuevas amenazas.

Los riesgos se producen al existir una amenaza que tenga consecuencias negativas para los sistemas de información de la empresa. El análisis de riesgos debe recoger información detallada de todos los riesgos a los que se ve expuestos y cómo afectan a la empresa. 

En esta fase del análisis de riesgos hay que priorizar cada uno de estos riesgos, siendo preciso consultar datos estadísticos sobre incidentes pasados en materia de seguridad.

Detectar Vulnerabilidades

Las vulnerabilidades se presentan en activos informáticos y presentan un riesgo para la información. Dos ejemplos de vulnerabilidades que suelen encontrarse en el análisis de riesgos informáticos son la falta de actualización de los sistemas operativos (por lo tanto, no incluyen los últimos parches en materia de seguridad) y el uso de contraseñas de acceso débiles (contraseñas cortas que no utilizan combinaciones de letras, números, símbolos y mayúsculas/minúsculas, y que son fácilmente descifrables con procesos automáticos).

Los tipos de vulnerabilidades que se pueden presentar en un sistema informático son las siguientes:
  • Física
Es la posibilidad de acceder al sistema directamente desde el equipo, para extraerle información, alterarlo o destruirlo.
  • Natural
Es la posibilidad de que el sistema sufra daños por causas del ambiente o desastres naturales, como incendios, tormentas, inundaciones, terremotos, humedad excesiva, picos de bajas y altas temperaturas.
  • Emanación
Es la posibilidad de interceptar radiaciones electromagnéticas para descifrar o alterar la información enviada y recibida.
  • De las Comunicaciones
Es la posibilidad de que varios usuarios puedan acceder a un sistema informático que se encuentra conectado a una red de computadoras o una red global (internet).
  • Software
También conocida como bugs, es la posibilidad de que el sistema sea accesible debido a fallas en su diseño.
  • Humana
La posibilidad del error humano. Los administradores y usuarios del sistema son una vulnerabilidad, ya que tienen acceso a la red y al equipo.

Medidas de prevención y control

Una vez se tengan identificadas las amenazas y vulnerabilidades de los sistemas y se tengan definidos todos los riesgos y sus consecuencias, deben establecerse una serie de medidas y tratamientos de riesgo con dos objetivos claros: evitar que se produzca el riesgo o minimizar su impacto en caso de que llegue a producirse.

Dentro de este tipo de medidas podemos destacar:
  • Instalación de software de seguridad y cortafuegos (por software o hardware).
  • Implementación de sistemas de seguridad en la nube automatizados y planes de Disaster Recovery. 
  • Añadir protocolos de seguridad para reforzar la seguridad de las contraseñas. 
  • Revisión de los roles y privilegios de los usuarios (con especial cuidado en la asignación de los roles con mayores privilegios, como los administradores). 
  • Contratación de un seguro que cubra los daños ocasionados. 
  • Implementación de sistemas alternativos o duplicados para asegurar la disponibilidad del sistema (high availability).
El análisis de riesgos requiere de la elaboración y consolidación de informes sobre la ciberseguridad y las distintas medidas aplicadas. Estos informes sirven para medir el grado de éxito que se está obteniendo en la prevención y mitigación, a la vez que permite detectar puntos débiles o errores que requieran de la aplicación de medidas correctoras.

Ventajas del análisis de riesgos informáticos

Las empresas que realicen un análisis de sus riesgos informáticos y de ciberseguridad se verán beneficiadas de la siguiente manera.
  • Dispondrán de una visión precisa de los activos relacionados con la información de la empresa. 
  • Conocerán los riesgos a los que se expone la empresa, pudiendo priorizar aquellos que tengan mayor probabilidad de producirse, para así poder invertir mayores recursos en evitarlo. 
  • Podrán medir el impacto que producirá en la empresa cualquier riesgo en caso de producirse. 
  • Facilita la toma de decisiones a la hora de invertir en ciberseguridad y reduce los tiempos de actuación ante posibles incidentes de seguridad. 
  • Ayuda a elegir la mejor alternativa en cuanto a métodos de reducción de los riesgos. 
  • Permite realizar una evaluación de los resultados, para implementar mejoras o reforzar aspectos débiles en las medidas de seguridad. 
  • Garantiza la continuidad de la empresa u organización, disponiendo de planes y protocolos en caso de incidentes graves. 
  • Ayuda a crear una cultura de prevención en la empresa, implicando a todas las personas que la forman. 
  • Permite cumplir con las normativas legales en cuestión de seguridad.
La ciberseguridad debe formar parte de la cultura de cualquier empresa, ya que en el marco actual las TI (Tecnologías de la Información) son fundamentales para todas las áreas empresariales. El análisis de riesgos permite conocer todos los activos relacionados con la información de la empresa, identificando amenazas y vulnerabilidades que permitan definir los riesgos reales a los que se expone la información y los sistemas.

Este análisis permite implementar las medidas necesarias que mitigan el impacto inherente a los distintos riesgos, pudiendo incluso llegar a evitar que se produzcan. Todas las empresas deben realizar un análisis de riesgos informáticos y de seguridad, ya que actualmente dependen de la tecnología para realizar la mayoría de sus actividades, tanto de administración, producción y comunicación.

No disponer de las medidas apropiadas de seguridad expone a las empresas a sufrir situaciones graves que ocasionen pérdidas importantes (como periodos de inactividad o pérdida de datos sensibles).

Proceso de análisis de riesgos informáticos

El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como Matriz de Riesgos. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización.


Ejemplo de una Matriz de Riesgos

Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo total es:

RT (Riesgo Total) = Probabilidad x Impacto Promedio

A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el riesgo residual.

Como se describe en el BS ISO/IEC 27001:2005, la evaluación del riesgo incluye las siguientes actividades y acciones:
  • Identificación de los activos.
  • Identificación de los requisitos legales y de negocio que son relevantes para la identificación de los activos.
  • Valoración de los activos identificados, teniendo en cuenta los requisitos legales y de negocio identificados anteriormente, y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.
  • Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.
  • Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
  • Cálculo del riesgo.
  • Evaluación de los riesgos frente a una escala de riesgo preestablecidos.
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:
  • Controlar el riesgo: Fortalecer los controles existentes y/o agregar nuevos controles.
  • Eliminar el riesgo: Eliminar el activo relacionado y con ello se elimina el riesgo.
  • Compartir el riesgo: Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.
  • Aceptar el riesgo: Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.

Consideraciones

No se olvide que en las empresas la seguridad comienza por dentro. Capacitando al personal, creando normas basadas en estándares, analizando brechas y puntos ciegos en la seguridad lógica y en la seguridad de sistemas de información.

Es fundamental la creación de escenarios de conflicto en forma continua participando la gerencia de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden lograrse medidas para evitar eventos de seguridad.

Elementos relacionados

  • Activo. Es un objeto o recurso de valor empleado en una empresa u organización
  • Amenaza. Es un evento que puede causar un incidente de seguridad en una empresa u organización produciendo pérdidas o daños potenciales en sus activos.
  • Vulnerabilidad. Es una debilidad que puede ser explotada con la materialización de una o varias amenazas a un activo.
  • Riesgo. Es un incidente o situación, que ocurre en un sitio concreto en un intervalo de tiempo determinado, con consecuencia negativas o positivas que pueden afectar el cumplimiento de los objetivos
  • Análisis. Examinar o descomponer un todo detallando cada uno de los elementos que lo forman a fin de terminar la relación entre sus principios y elementos.
  • Control. Es un mecanismo de seguridad de prevención y corrección empleado para disminuir las vulnerabilidades
Este proceso administración de riesgo es un proceso continuo dado que es necesario evaluar periódicamente si los riesgos encontrados y si estos tienen una afectación, hay que hacer cálculo en las diferentes etapas del riesgo. La mecánica que se ve inversa el mayor número de las organizaciones hoy en día es en el esfuerzo del día a día. Es por eso realizar análisis de riesgo del proyecto referido al proyecto y el impacto futuro en la estructura de riesgo de la organización.



* Análisis de Riesgos




* Análisis y valoración de Riesgos




* Gestión y Tratamiento de los Riesgos




Recursos:

Actividad 3




Fuentes Consultadas:

Segu Info Noticias sobre Seguridad de la Información. segu-info.com.ar. (2020). Evaluación de Riesgos.

Wikipedia La enciclopedia libre. es.wikipedia.org. (07 de diciembre de 2019). Análisis de riesgo informático.

Pablo Rodríguez Ambit Bulding solutions together. (07 de mayo de 2020). Análisis de riesgos informáticos y ciberseguridad.

Gestión de Riesgo en la Seguridad Informática WordPress. protejete.wordpress.com. (2020). 7. Análisis de Riesgo.

Capacítate para el empleo Fundación Carlos Slim. capacitateparaelempleo.org. (2020). Técnico en seguridad informática (análisis de riesgos) - Nivel 2 - Lección 1 - Infografía 1: Vulnerabilidades informáticas.
 
biz.