ANALISIS DE VULNERABILIDADES PARA EL DEPARTAMENTO DE SISTEMAS EN EMPRESA LTDA,

...

- Identificación de activos y asignación de sus respectivos valores

- Identificación de amenazas a los activos y valoración de sus probabilidades

- Identificación de vulnerabilidades y valorarlas

- Identificación de los controles que se tengan implementados

- Valoración del riesgo intrínseco y riesgo efectivo

Que es el análisis y gestión de riesgos

El análisis de riesgos consiste en una consideración sistemática de:

- El daño probable que puede causar en el negocio un fallo en la seguridad de la información, teniendo en cuenta las consecuencias potenciales de pérdida de confidencialidad, integridad, y disponibilidad

- La probabilidad de impacto a la luz de las amenazas, vulnerabilidades y los controles que ya se encuentren implementados

Por tanto, un proceso de análisis de riesgos detallado, implica la identificación y valoración de los activos, la evaluación de las amenazas, las vulnerabilidades de los activos frente a las amenazas, la estimación del impacto y la valoración de los riesgos.

La fase siguiente al análisis de riesgos es la gestión de los riesgos detectados, que soporta la identificación, selección y adopción de controles con base a los riesgos identificados y a la reducción de esos riesgos a un nivel aceptable definido por la dirección.

Figura 1-14: Gestión del riesgo.

De la figura 1-14 se deduce gráficamente que el proceso de análisis de riesgos puede requerir de muchos recursos y por lo tanto, necesita una cuidadosa delimitación del alcance o cobertura así como de mucha gestión basado en métricas como base del sistema de gestión de seguridad de la información.

Ventajas del análisis y gestión de riesgos

La ventaja principal de este proceso es que permite identificar un nivel de seguridad acorde con las necesidades de seguridad de cada sistema.

Otra ventaja es que la gestión de los cambios con un impacto importante en la seguridad se beneficiará de la información adicional obtenida del proceso.

El documento de análisis de riesgos se conforma como un documento vivo, sujeto a las posibles variaciones de gestión de la organización, por lo tanto, es susceptible de análisis de riesgos periódicos que serían motivo de nuevas versiones.

Estructura metodológica del análisis de riesgos

Los elementos implicados en la seguridad de la información comprenden entidades básicas como son: activos, amenazas, vulnerabilidades, impactos y riesgos. Las metodologías relacionan entre sí esas entidades básicas para controlar el riesgo, pero el fundamento de cualquier metodología es que el riesgo se debe tratar como mínimo con las siguientes etapas: Eliminar, prevenir, proteger o transferir el riesgo. Ver figura 1-14 sobre la gestión del riesgo.

Inventario de activos

Los activos son el recurso del sistema de información, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por la alta dirección.

Los activos deben tener un valor asignado por la organización, un dueño, un responsable de la seguridad de la información y deben ser de carácter relevante para el ámbito del SGSI.

Valoración de activos

La valoración de los activos es un componente vital del proceso de análisis de riesgos y no solo tiene en cuenta el valor a nuevo del activo sino el valor de la información que le agrega valor al activo.

El comité de dirección de seguridad de la información compuesto por los dueños de cada proceso critico, es el responsable de la valoración de los activos de la organización.

Por cada activo se debe generar una caracterización basado en su estado en materia de seguridad de la información, este se encuentra estimando las características fundamentales de todo activo:

- Confidencialidad: El activo debe ser accedido únicamente por el recurso autorizado, a esta caracterización también se le llama autenticación.

- Integridad: El activo debe ser modificado únicamente por el recurso autorizado.

- Disponibilidad: El activo debe estar siempre disponible para que los recursos lo puedan acceder o modificar.

Amenazas

Las amenazas son los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.

La consecuencia de la amenaza, si se materializa, es un incidente que modifica el estado de seguridad de los activos amenazados. Es decir, hace pasar el activo de un estado inicial anterior conocido a otro posterior, que puede ser no deseable.

Los activos están expuestos a muchas clases de amenazas, las cuales pueden explotar sus vulnerabilidades. Los controles de seguridad de la información que se implementen se seleccionarán teniendo en cuenta las vulnerabilidades, no las amenazas.

Vulnerabilidades

La vulnerabilidad de un activo es la posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo. Una vulnerabilidad es una debilidad, agujero, falla o error en la seguridad del sistema de información. En sí misma no causa daño alguno, sino que es una condición o un conjunto de condiciones que pueden permitir a una amenaza afectar a un activo. Se trata de una propiedad de la relación entre un activo y una amenaza, que si no se gestiona adecuadamente permitirá a la amenaza materializarse.

Hay dos tipos:

- INTRÍNSICA del activo respecto al tipo de amenaza: que sólo depende del propio activo y de la amenaza.

- EFECTIVA del activo: que tiene en cuenta los controles aplicados en cada momento a dicho activo y se considera como un factor que estima la eficacia global de dichos controles.

Probabilidad

Corresponde a la probabilidad existente de que una amenaza afecte a un determinado activo aprovechando la vulnerabilidad que esté presente en el activo.

Impacto