lunes, 7 de diciembre de 2020

3.4 Evaluación de Riesgos


3.4 Evaluación de Riesgos

La evaluación de riesgos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. 

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

Introducción

Los riesgos de seguridad informática deben ser considerados en el contexto de la empresa u organización, y las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo, producción, operaciones, administración, TI, finanzas, etcétera y los clientes deben ser identificados para lograr una imagen global y completa de estos riesgos.

Cada organización tiene una misión. En esta era digital, las organizaciones que utilizan sistemas tecnológicos para automatizar sus procesos o información deben de ser conscientes de que la administración del riesgo informático juega un rol crítico.

La meta principal de la administración del riesgo informático debería ser "proteger a la organización y su habilidad de manejar su misión” no solamente la protección de los elementos informáticos. Además, el proceso no solo debe de ser tratado como una función técnica generada por los expertos en tecnología que operan y administran los sistemas, sino como una función esencial de administración por parte de toda la organización.

Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a grandes rasgos que la administración de riesgos es el proceso de identificación, evaluación y toma de decisiones para reducir el riesgo a un nivel aceptable.

En el análisis de riesgo informático es necesario identificar si existen controles que ayudan a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir, la vulnerabilidad será de riesgo no controlado.

Dentro de la evaluación del riesgo es necesario realizar las siguientes acciones: Calcular el impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de forma cuantitativa (asignando pesos) o de forma cualitativa (matriz de riesgos).

El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas.
  • Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).
  • Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.
  • Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto.

¿En que consiste la el análisis de riesgos informáticos?

Cuando se habla de ciberseguridad, el análisis de riegos informáticos es la evaluación de los distintos peligros que afectan a nivel informático y que pueden producir situaciones de amenaza a la empresa u organización, como robos o intrusiones que comprometan los datos o ataques externos que impidan el funcionamiento de los sistemas propiciando periodos de inactividad empresarial.

El análisis y gestión de los riesgos previene a las empresas de este tipo de situaciones negativas para su actividad y recoge una serie de factores fundamentales para su consecución.

Identificación de Activos

Para realizar un análisis de riesgos efectivo, el primer paso es identificar todos los activos de la empresa. Estos activos incluyen todos los recursos relacionados con la gestión e intercambio de información de la empresa, como software, hardware, vías de comunicación, documentación digital y manual e incluso de recursos humanos.

Riesgos y Amenazas

Una vez se identifiquen todos los activos de información que componen la empresa, deben definirse las amenazas a las que pueden estar expuestos. Estas amenazas pueden ser de diferente índole, como ataques externos, desastres naturales o errores humanos. 

  • Ataques externos. 
Los ciberdelincuentes siempre tienen en su punto de mira a las empresas y sus sistemas, con el objetivo de robar información (bancaria o de otra índole comercial o personal), tirar sus sistemas o utilizar sus recursos. Dos de las mayores amenazas que reciben las empresas hoy en día son ataques de denegación de servicio DDoS (inutilizan los sistemas informáticos de la empresa) o ataques con malware de tipo ransomware (encriptan los datos de la empresa, solicitando un rescate económico en criptomonedas para liberarlos).
  • Errores humanos.
La intervención humana en los procesos informáticos siempre está expuesta a que se cometan errores (intencionados o no intencionados). Por ejemplo, un empleado sin los conocimientos suficientes, o con privilegios superiores a los de su función, puede realizar acciones que comprometan los datos o produzcan un malfuncionamiento en los sistemas.
  • Desastres naturales.
Es posible que se den situaciones que pongan en peligro los activos informáticos de la empresa como inundaciones o sobrecargas en la red eléctrica.
  • Situaciones extraordinarias.
Las crisis a menudo reduce los niveles de alerta y protección y llevan a los ciberdelincuentes a aprovecharse de esta situación operando bajo esquemas maliciosos. Por esta razón es importante que las empresas estén atentas a mensajes fraudulentos relacionados con la crisis y se recomienda aumentar la conciencia ante el surgimiento de nuevas amenazas.

Los riesgos se producen al existir una amenaza que tenga consecuencias negativas para los sistemas de información de la empresa. El análisis de riesgos debe recoger información detallada de todos los riesgos a los que se ve expuestos y cómo afectan a la empresa. 

En esta fase del análisis de riesgos hay que priorizar cada uno de estos riesgos, siendo preciso consultar datos estadísticos sobre incidentes pasados en materia de seguridad.

Detectar Vulnerabilidades

Las vulnerabilidades se presentan en activos informáticos y presentan un riesgo para la información. Dos ejemplos de vulnerabilidades que suelen encontrarse en el análisis de riesgos informáticos son la falta de actualización de los sistemas operativos (por lo tanto, no incluyen los últimos parches en materia de seguridad) y el uso de contraseñas de acceso débiles (contraseñas cortas que no utilizan combinaciones de letras, números, símbolos y mayúsculas/minúsculas, y que son fácilmente descifrables con procesos automáticos).

Los tipos de vulnerabilidades que se pueden presentar en un sistema informático son las siguientes:
  • Física
Es la posibilidad de acceder al sistema directamente desde el equipo, para extraerle información, alterarlo o destruirlo.
  • Natural
Es la posibilidad de que el sistema sufra daños por causas del ambiente o desastres naturales, como incendios, tormentas, inundaciones, terremotos, humedad excesiva, picos de bajas y altas temperaturas.
  • Emanación
Es la posibilidad de interceptar radiaciones electromagnéticas para descifrar o alterar la información enviada y recibida.
  • De las Comunicaciones
Es la posibilidad de que varios usuarios puedan acceder a un sistema informático que se encuentra conectado a una red de computadoras o una red global (internet).
  • Software
También conocida como bugs, es la posibilidad de que el sistema sea accesible debido a fallas en su diseño.
  • Humana
La posibilidad del error humano. Los administradores y usuarios del sistema son una vulnerabilidad, ya que tienen acceso a la red y al equipo.

Medidas de prevención y control

Una vez se tengan identificadas las amenazas y vulnerabilidades de los sistemas y se tengan definidos todos los riesgos y sus consecuencias, deben establecerse una serie de medidas y tratamientos de riesgo con dos objetivos claros: evitar que se produzca el riesgo o minimizar su impacto en caso de que llegue a producirse.

Dentro de este tipo de medidas podemos destacar:
  • Instalación de software de seguridad y cortafuegos (por software o hardware).
  • Implementación de sistemas de seguridad en la nube automatizados y planes de Disaster Recovery. 
  • Añadir protocolos de seguridad para reforzar la seguridad de las contraseñas. 
  • Revisión de los roles y privilegios de los usuarios (con especial cuidado en la asignación de los roles con mayores privilegios, como los administradores). 
  • Contratación de un seguro que cubra los daños ocasionados. 
  • Implementación de sistemas alternativos o duplicados para asegurar la disponibilidad del sistema (high availability).
El análisis de riesgos requiere de la elaboración y consolidación de informes sobre la ciberseguridad y las distintas medidas aplicadas. Estos informes sirven para medir el grado de éxito que se está obteniendo en la prevención y mitigación, a la vez que permite detectar puntos débiles o errores que requieran de la aplicación de medidas correctoras.

Ventajas del análisis de riesgos informáticos

Las empresas que realicen un análisis de sus riesgos informáticos y de ciberseguridad se verán beneficiadas de la siguiente manera.
  • Dispondrán de una visión precisa de los activos relacionados con la información de la empresa. 
  • Conocerán los riesgos a los que se expone la empresa, pudiendo priorizar aquellos que tengan mayor probabilidad de producirse, para así poder invertir mayores recursos en evitarlo. 
  • Podrán medir el impacto que producirá en la empresa cualquier riesgo en caso de producirse. 
  • Facilita la toma de decisiones a la hora de invertir en ciberseguridad y reduce los tiempos de actuación ante posibles incidentes de seguridad. 
  • Ayuda a elegir la mejor alternativa en cuanto a métodos de reducción de los riesgos. 
  • Permite realizar una evaluación de los resultados, para implementar mejoras o reforzar aspectos débiles en las medidas de seguridad. 
  • Garantiza la continuidad de la empresa u organización, disponiendo de planes y protocolos en caso de incidentes graves. 
  • Ayuda a crear una cultura de prevención en la empresa, implicando a todas las personas que la forman. 
  • Permite cumplir con las normativas legales en cuestión de seguridad.
La ciberseguridad debe formar parte de la cultura de cualquier empresa, ya que en el marco actual las TI (Tecnologías de la Información) son fundamentales para todas las áreas empresariales. El análisis de riesgos permite conocer todos los activos relacionados con la información de la empresa, identificando amenazas y vulnerabilidades que permitan definir los riesgos reales a los que se expone la información y los sistemas.

Este análisis permite implementar las medidas necesarias que mitigan el impacto inherente a los distintos riesgos, pudiendo incluso llegar a evitar que se produzcan. Todas las empresas deben realizar un análisis de riesgos informáticos y de seguridad, ya que actualmente dependen de la tecnología para realizar la mayoría de sus actividades, tanto de administración, producción y comunicación.

No disponer de las medidas apropiadas de seguridad expone a las empresas a sufrir situaciones graves que ocasionen pérdidas importantes (como periodos de inactividad o pérdida de datos sensibles).

Proceso de análisis de riesgos informáticos

El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como Matriz de Riesgos. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización.


Ejemplo de una Matriz de Riesgos

Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo total es:

RT (Riesgo Total) = Probabilidad x Impacto Promedio

A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el riesgo residual.

Como se describe en el BS ISO/IEC 27001:2005, la evaluación del riesgo incluye las siguientes actividades y acciones:
  • Identificación de los activos.
  • Identificación de los requisitos legales y de negocio que son relevantes para la identificación de los activos.
  • Valoración de los activos identificados, teniendo en cuenta los requisitos legales y de negocio identificados anteriormente, y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.
  • Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.
  • Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
  • Cálculo del riesgo.
  • Evaluación de los riesgos frente a una escala de riesgo preestablecidos.
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:
  • Controlar el riesgo: Fortalecer los controles existentes y/o agregar nuevos controles.
  • Eliminar el riesgo: Eliminar el activo relacionado y con ello se elimina el riesgo.
  • Compartir el riesgo: Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.
  • Aceptar el riesgo: Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.

Consideraciones

No se olvide que en las empresas la seguridad comienza por dentro. Capacitando al personal, creando normas basadas en estándares, analizando brechas y puntos ciegos en la seguridad lógica y en la seguridad de sistemas de información.

Es fundamental la creación de escenarios de conflicto en forma continua participando la gerencia de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden lograrse medidas para evitar eventos de seguridad.

Elementos relacionados

  • Activo. Es un objeto o recurso de valor empleado en una empresa u organización
  • Amenaza. Es un evento que puede causar un incidente de seguridad en una empresa u organización produciendo pérdidas o daños potenciales en sus activos.
  • Vulnerabilidad. Es una debilidad que puede ser explotada con la materialización de una o varias amenazas a un activo.
  • Riesgo. Es un incidente o situación, que ocurre en un sitio concreto en un intervalo de tiempo determinado, con consecuencia negativas o positivas que pueden afectar el cumplimiento de los objetivos
  • Análisis. Examinar o descomponer un todo detallando cada uno de los elementos que lo forman a fin de terminar la relación entre sus principios y elementos.
  • Control. Es un mecanismo de seguridad de prevención y corrección empleado para disminuir las vulnerabilidades
Este proceso administración de riesgo es un proceso continuo dado que es necesario evaluar periódicamente si los riesgos encontrados y si estos tienen una afectación, hay que hacer cálculo en las diferentes etapas del riesgo. La mecánica que se ve inversa el mayor número de las organizaciones hoy en día es en el esfuerzo del día a día. Es por eso realizar análisis de riesgo del proyecto referido al proyecto y el impacto futuro en la estructura de riesgo de la organización.



* Análisis de Riesgos




* Análisis y valoración de Riesgos




* Gestión y Tratamiento de los Riesgos




Recursos:

Actividad 3




Fuentes Consultadas:

Segu Info Noticias sobre Seguridad de la Información. segu-info.com.ar. (2020). Evaluación de Riesgos.

Wikipedia La enciclopedia libre. es.wikipedia.org. (07 de diciembre de 2019). Análisis de riesgo informático.

Pablo Rodríguez Ambit Bulding solutions together. (07 de mayo de 2020). Análisis de riesgos informáticos y ciberseguridad.

Gestión de Riesgo en la Seguridad Informática WordPress. protejete.wordpress.com. (2020). 7. Análisis de Riesgo.

Capacítate para el empleo Fundación Carlos Slim. capacitateparaelempleo.org. (2020). Técnico en seguridad informática (análisis de riesgos) - Nivel 2 - Lección 1 - Infografía 1: Vulnerabilidades informáticas.

Audicel Rubén Oliva Villalobos

Autor & Editor

0 comentarios:

Publicar un comentario

 
biz.