FISO27001_T047 Análisis de Riesgos

Plataformas de Aprendizaje Autodirigido

Análisis de Riesgos.

Es una técnica de recopilación de información sobre procesos y sistemas utilizados en la organización que pretende mejorar la administración y el uso de esos recursos, así como protegerlos antes las vulnerabilidades que pudiesen encontrar. Para ello, se debe controlar la probabilidad de que ocurran determinados eventos y las consecuencias que ellos pueden traer para la organización.

Existen muchas formas de realizar un análisis de riesgos ISO 27001. Pero lo más importante es entender la fórmula que determina la importancia de un riesgo. Esta se puede calcular multiplicando la vulnerabilidad de un activo por la importancia para la organización. Así, cuanto más vulnerable es un elemento, y cuanto más importante es para la organización, mayor es el riesgo que supone. Entonces, la inversión para disminuir ese riesgo tendrá que ser mayor.

El análisis de riesgos es una técnica que obedece a un ciclo y debe realizarse de forma periódica. Al llegar al final del ciclo, se puede recomenzar la fase de recolección de información nuevamente. La idea es asegurar una mejora continua de los procesos, pues el avance diario de la tecnología implica mayores riesgos para la organización.

Pasos para realizar un análisis de riesgos:

  • Paso 1. Conseguir información sobre amenazas:

En esta etapa recopilamos información sobre los procesos y las amenazas a las que está expuesta la organización. En este momento resulta esencial la participación de gerentes de TIencargados de los procesos, directores de área o de departamento. Una lluvia de ideas, por descabelladas que sean algunas de ellas, resultará de gran utilidad. Algunos ejemplos de amenazas que se identifican típicamente en un buen número de organizaciones son:

    • Pérdida de datos accidental.
    • Pérdida de datos intencional.
    • Incendio en el centro de datos.
    • Software obsoleto o sin licencia.
    • Empleados sin formación.
    • Robo o destrucción de equipos.

Después de identificar todas las amenazas, es preciso realizar una lista que las englobe a todas, para luego insertarlas en una matriz de riesgos.

  • Paso 2. Crear una matriz de riesgos para cada elemento de la lista:

Existen también varios modelos de matrices de riesgo. Sin embargo, el más común y más fácil de utilizar es el que utiliza dos ejes: probabilidad de ocurrencia, e impacto. Cada uno de estos ejes está compuesto por 5 niveles así:

    • Eje de Probabilidad:

    • Eje de Impacto:

Para cada riesgo enumerado en la lista de amenazas, debemos asignar una calificación de uno a cinco, para el eje de probabilidad, así como para el de impacto. Obtendremos, así, una calificación de los riesgos según el punto de intersección de ambos ejes, que corresponderá a un tipo de riesgo más o menos elevado.

Como ejemplo tomemos un elemento de nuestra lista de amenazas, como la pérdida de información. Si es un riesgo de probabilidad posible (3), pero de impacto severo (4), obtendríamos un factor de riesgo 12.

Esta calificación resultante de la intersección de los dos ejes en la matriz nos proporciona el potencial de riesgo de esa vulnerabilidad, y, en consecuencia, el camino a seguir para los demás pasos.

  • Paso 3. Hacer una lista de los riesgos según su importancia:

Ahora podemos obtener una lista de riesgos categorizada según su importanciapor orden de gravedad y urgencia de resolución. Lo importante en esta etapa de nuestro análisis de riesgos ISO 27001 es realizar una separación entre lo que es relevante para la seguridad de la información y lo que no lo es. Si no se cuenta con recursos suficientes para gestionar todos los riesgos, es mejor retirar los menos relevantes y concentrar esfuerzos en los más importantes.

  • Paso 4. Diseñe acciones correctivas:

Este es el paso más importante de todo el proceso, pues es donde tomamos acciones pare evitar, prevenir, mitigar, compartir o tolerar un riesgo. Después de identificar y asignar un valor numérico de importancia a las vulnerabilidades encontradas, definimos esa acción definitiva.

Lo ideal sería eliminar todos los riesgos, pero eso nunca será posible. Aquellos que no se puedan eliminar, podrían ser objeto de acciones que mitiguen su impacto. Otros tendrán que ser compartidos o trasladados a un proveedor externo, y otros, finalmente tendrán que ser tolerados. En este punto, la orientación de los expertos en seguridad de la información, consultores y personal especializado, será de gran ayuda.

  • Paso 5. Continuar con la evaluación:

Después de seguir los cuatro pasos anteriores, y cuando ya hemos implementado las acciones descritas en el paso anterior, es preciso diseñar e implementar un sistema que permita el monitoreo constante. El objetivo es evaluar los resultados de las acciones propuestas, verificar la aparición de nuevas vulnerabilidades y corroborar el nivel de importancia de las amenazas, ya que algunas de ellas pueden dejar de serlo o reducir su nivel de afectación.