Análisis y Gestión de Riesgos

¿Qué es?

Para que una organización pueda determinar la estrategia de gestión de seguridad de la información, es fundamental que conozca los riesgos a los que se enfrenta, mediante la realización de un análisis de riesgos formal y metodológico.

Toda organización, independientemente de su naturaleza, tamaño y sector de actividad, debería llevar a cabo un proceso de análisis de riesgos como punto de partida para la definición de una estrategia de tratamiento:

  • Mitigación del riesgo aplicando medidas de seguridad.
  • Aceptar las consecuencias de un riesgo particular.
  • Transferir el riesgo.
  • Eliminar el riesgo.
 

¿A quién afecta?

Teniendo en cuenta que el mayor valor de toda organización es la información que posee y la velocidad a la que se producen cambios en la gestión de los sistemas de información, se deben tratar de solucionar los problemas de la forma más rápida posible. Para ello, es imperante que se identifiquen las relaciones funcionales entre los distintos activos de información y se analicen todas las posibles circunstancias que pueden presentarse, pudiendo con esta información elegir de forma más precisa las herramientas de seguridad necesarias para garantizar los requisitos deseados sobre sus sistemas. Para ello, la concienciación de los altos directivos en relación a la importancia que tienen estas tareas, es un primer paso y son ellos quienes deben establecer los requisitos de seguridad de los sistemas de información que manejan.

Start Up, propone la metodología desarrollada por el Consejo Superior de Informática sobre el "Análisis y Gestión de Riesgos de los Sistemas de Información", denominada MAGERIT. Esta metodología desarrollada para el impulso de la Administración Electrónica aporta una vertebración sistemática al proceso de análisis de riesgos.

 

¿Para qué sirve?

El objetivo del análisis de riesgos es disponer de un diagnóstico del estado actual de riesgo, que sirva, primero para categorizar las vulnerabilidades halladas por su impacto económico y segundo para establecer unas medidas o salvaguardas de seguridad proporcionales a los riesgos establecidos y al valor de los elementos a proteger.

El análisis de riesgos es uno de los requisitos indispensables para establecer un Sistema de Gestión de la Seguridad de la Información.

Como resultado del proceso se obtiene un mapa de riesgos de seguridad para los procesos de la organización.

 

¿Qué implicaciones tiene?

En la evaluación del riesgo se tendrá en cuenta los siguientes elementos de seguridad:

  • Conocimiento del entorno y del alcance del proyecto.
  • Activos a proteger Identificación y valoración de Activos (inventario)
  • Amenazas sobre los activos Identificación de amenazas y vulnerabilidades.
    • Personas, cosas o eventos.
  • Impacto de la materialización de las amenazas.
  • Riesgo que se corre en un sistema real.
    • El riesgo nunca es nulo, sino un compromiso.
  • Contramedidas o salvaguardas que...
    • Reducen las oportunidades o
    • Limitan el impacto.
 

Ventajas de su aplicación

El Análisis y Gestión de Riesgos aporta una información muy útil, tanto a altos directivos que pueden conocer de forma más precisa cual es el entorno de su sistema de información y por tanto tomar mejores decisiones, como a las áreas técnicas, a las que proporciona medios de diagnóstico de sistemas, pudiendo seleccionar los mecanismos de salvaguarda que optimicen la inversión en Seguridad Informática con la que se dote a la organización en su presupuesto.