Seleccionar página

Como parte del Sistema de Gestión de Seguridad de la Información, es necesario para la empresa hacer una adecuada gestión de riesgos que le permita saber cuáles son las principales vulnerabilidades de sus activos de información y cuáles son las amenazas que podrían explotar las vulnerabilidades. En la medida que la empresa tenga clara esta identificación de riesgos podrá establecer las medidas preventivas y correctivas viables que garanticen mayores niveles de seguridad en su información.

Son muchas las metodologías utilizadas para la gestión de riesgos, pero todas parten de un punto común: la identificación de activos de información, es decir todos aquellos recursos involucrados en la gestión de la información, que va desde datos y hardware hasta documentos escritos y el recurso humano. Sobre estos activos de información es que hace la identificación de las amenazas o riesgos y las vulnerabilidades.

Una amenaza se puede definir entonces como un evento que puede afectar los activos de información y están relacionadas con el recurso humano, eventos naturales o fallas técnicas.  Algunos ejemplos pueden ser ataques informáticos externos, errores u omisiones del personal de la empresa, infecciones con malware, terremotos, tormentas eléctricas o sobrecargas en el fluido eléctrico.

Por otra parte, una vulnerabilidad es una característica de un activo de información y que representa un riesgo para la seguridad de la información. Cuando se materializa una amenaza y hay una vulnerabilidad que pueda ser aprovechada hay una exposición a que se presente algún tipo de pérdida para la empresa. Por ejemplo el hecho de tener contraseñas débiles en los sistemas y que la red de datos no esté correctamente protegida puede ser aprovechado para los ataques informáticos externos.

Ahora, para que la empresa pueda tomar decisiones sobre cómo actuar ante los diferentes riesgos es necesario hacer una valoración para determinar cuáles son los más críticos para la empresa. Esta valoración suele hacerse en términos de la posibilidad de ocurrencia del riesgo y del impacto que tenga la materialización del riesgo. La valoración del impacto puede medirse en función de varios factores: la pérdida económica si es posible cuantificar la cantidad de dinero que se pierde, la reputación de la empresa dependiendo si el riesgo pueda afectar la imagen de la empresa en el mercado o de acuerdo al nivel de afectación por la pérdida o daño de la información.

A continuación te dejamos algunos pasos para hacer una evaluación de riesgos:

Establecer criterios de medición del riesgo

El primer paso consiste en definir criterios que permitan conocer la postura de la organización en cuanto a su propensión a los riesgos. Se trata de la base para la evaluación, ya que sin esta actividad no se puede medir el grado en el que la organización se ve afectada cuando se materializa una amenaza.

El método establece la creación de un conjunto de criterios cualitativos con las cuales se podrá evaluar el efecto del riesgo contra la misión y objetivos de la organización en 5 categorías:

  • Reputación/confianza del cliente
  • Financiera
  • Productividad
  • Seguridad/salud
  • Multas/penas legales

Además, hay una última que el usuario puede definir, utilizada para una preocupación específica de la empresa.

Para cada criterio se deben generar áreas de impacto, es decir, condiciones de cómo la organización se verá afectada por algún incidente de seguridad. El impacto puede ser alto, medio o bajo, y esto deberá ser definido por el personal encargado de generar los criterios de medición del riesgo.

Desarrollar un perfil de activos de información

La evaluación de riesgos que se desarrolla se enfoca en los activos de información, es decir, los conocimientos o datos que tienen valor para la organización. Se documentan las razones por la cuales se eligen y además se debe realizar una descripción de los mismos.

También, se debe asignar un custodio a cada uno de estos activos de información, el responsable de definir los requisitos de seguridad para los mismos: confidencialidad, integridad y disponibilidad, de acuerdo a su criterio y experiencia.

Se crea un perfil para cada activo de información que los encargados de la evaluación consideren como crítico, ya que forma la base para identificar amenazas y riesgos en pasos subsecuentes. Esta actividad es necesaria para asegurar que los activos se describen de forma clara y consistente, así como sus requisitos de seguridad, para definir las opciones de protección a aplicar.

Identificar contenedores de activos de información

En el tercer paso se identifican los contenedores, es decir, los repositorios donde se almacena esta información, ya que son los sitios en donde suelen llevarse a cabo los ataques contra los datos, por tales características, también son los lugares donde se aplican los controles de seguridad.

De acuerdo con este método, pueden ser del tipo técnicofísico o humano, ya que la información puede encontrarse de diferentes maneras, por ejemplo en formato digital (archivos en medios electrónicos u ópticos), en forma física (escrita o impresa en papel), así como información no representada, como las ideas o el conocimiento de los miembros de la organización.

En el mismo sentido, la información puede ser almacenada, procesada o transmitida de diferentes maneras, en formato electrónico, verbal o a través de mensajes escritos o impresos, por lo que también es posible encontrarla en diferentes estados.

Identificar áreas de preocupación

En este paso se inicia el proceso del desarrollo de perfiles de riesgo para los activos de información, resultado de la combinación de la posibilidad de materialización de una amenaza (probabilidad) y sus consecuencias (impacto).

De acuerdo con el método, un área de preocupación es un enunciado descriptivo que detalla una condición o situación del mundo real que puede afectar un activo de información en la organización. Se deben generar tantas áreas como sean necesarias para cada uno de los activos perfilados en el paso.

Se busca documentar las condiciones que preocupan a la organización en cuanto a su información crítica, por lo que se identifican riesgos evidentes sin necesidad de una revisión exhaustiva, para ello se registra información sobre quién podría llevar a cabo esta amenaza (actores), los medios por los cuales se podría ejecutar, motivos y sus resultados. Finalmente, se documenta la manera en la que las amenazas afectarían los requisitos de seguridad descritos en el segundo paso.

El análisis de riesgo es un factor-clave en el mundo de los negocios. Su ejecución correcta ayuda a tranquilizar colaboradores, empleados e incluso inversores, que estarán más seguros al lado de un emprendedor capaz de prever los posibles errores en su emprendimiento.

 

Técnico en Análisis del Riesgo con Particulares, Profesionales y Comercios