PLAN DIRECTOR DE SEGURIDAD

Análisis de riesgos

Paralelamente al desarrollo de los trabajos de auditoría, es necesario que realicemos un análisis de riesgos a los que está expuesta nuestra organización.

El proceso para realizar un análisis de riesgos consta de los siguientes pasos:

1.Identificar los activos de información de nuestra organización, cada uno de los cuales estará expuesto a unas amenazas determinadas y tendrá unas vulnerabilidades asociadas.

Un servidor web puede estar expuesto a una denegación de servicio y tener como vulnerabilidad poca tolerancia a una carga de tráfico excesiva.

2. Del paso anterior, que nos describe el estado del activo, obtenemos el riesgo intrínseco. Es decir, el riesgo al que está expuesto el activo «por defecto» antes de la aplicación de los controles específicos.

3. En el paso siguiente, determinamos la probabilidad de materialización de un riesgo intrínseco, que dará como resultado un impacto, es decir, las consecuencias que tiene para nuestra organización la materialización de la amenaza.

4. A continuación, debemos identificar aquellos riesgos que, por su probabilidad, impacto o ambos, no son aceptables para nuestra organización. Esta decisión debemos tomarla de acuerdo a nuestra estrategia corporativa y en función de los riesgos que estemos dispuestos a asumir.

Para aquellos riesgos que no sean aceptables, debemos proponer diferentes iniciativas para la implantación de controles o salvaguardas, que tendrán un coste asociado.

En algunos casos, este coste es determinante para escoger controles menos eficaces pero con un menor coste o para asumir el riesgo debido al alto coste del control mitigante.

5. Como resultado de la aplicación de los controles, obtendremos el riesgo residual del activo, que nos indicará el grado de exposición del activo a las amenazas después de haber implantado los controles seleccionados así como las consecuencias de la materialización de la amenaza.

Tendremos en cuenta que los elementos y valores anteriores son dinámicos y podrán cambiar a medida que nuestra infraestructura evolucione, se añadan nuevos activos, ofrezcamos nuevos servicios, surjan nuevas amenazas o apliquemos unos controles determinados.

La sustitución de un sistema de copias tradicional, por un sistema de replicación de datos en diferido, puede eliminar riesgos de disponibilidad pero incrementar los riesgos de disponibilidad e integridad de los datos, al propagarse éstos en la réplica de manera automática.

También podemos crear nuestra propia metodología específica a partir de las existentes. En este sentido, puede resultar interesante adaptar diversas metodologías para obtener una que se adapte a la naturaleza de nuestra organización.

Nivel de riesgo aceptable

Tras la identificación de los riesgos, debemos establecer y documentar el nivel de riesgo aceptable: el valor umbral que determina los riesgos que deben ser tratados y los riesgos que son asumibles.

¿Cómo podemos tratar un riesgo?

A través de cuatro posibles estrategias:

  • Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro.
  • Eliminar el riesgo. Eliminando un proceso que ya no es necesario.
  • Asumir el riesgo, siempre justificadamente. El coste de instalar un grupo electrógeno o disponer de un centro de respaldo en caso de interrupción del suministro eléctrico puede ser demasiado alto y por tanto, puede ser necesario asumir el riesgo durante varias horas, a pesar de su impacto.
  • Implantar medidas para mitigarlo. Instalando un sistema de alimentación ininterrumpida o SAI para hacer frente a los cortes de electricidad más breves, o tener algún tipo de acuerdo recíproco con otra compañía para en caso de que se produzca un incidente grave poder usar sus servidores o instalaciones.

En resumen, el análisis de riesgos desarrollado en el contexto del Plan Director de Seguridad está enfocado principalmente a identificar aquellos riesgos que exceden unos límites aceptables para la organización.

Todos los trabajos desarrollados hasta el momento están fuertemente relacionados y en todos los casos requieren de la intervención de múltiples personas que conozcan la organización.

En este sentido, nuevamente destacamos la importancia de contar con el apoyo de la Dirección para garantizar el éxito del proyecto.

En nuestro próximo post finalizaremos nuestro Plan Director de Seguridad con las últimas fases del mismo:

  • 4.Definir los proyectos e iniciativas
  • 5.La Aprobación del Plan Director
  • 6.Puesta en marcha del mismo.