La versión de su navegador no está debidamente actualizada. Le recomendamos actualizarla a la versión más reciente.

Análisis y Gestión de Riesgos de la Información.

Publicado 13/01/2019

La guerra es un asunto de importancia vital para el Estado; un asunto de vida o muerte, el camino hacia la supervivencia o la destrucción. Un ejército victorioso gana primero y entabla la batalla después; un ejército derrotado lucha primero e intenta obtener la victoria después. Esta es la diferencia entre los que tienen estrategia y los que no tienen planes premeditados.”  El arte de la guerra Sun Tzu, 2.000 a.C.

Sin duda alguna, si queremos «empezar por el principio» en materia de ciberseguridad en nuestra empresa, el análisis de riesgos es uno de los trabajos más importantes a la hora de definir proyectos e iniciativas para la mejora de la seguridad de la información. Si consideramos que las herramientas tecnológicas y la información que manejamos son de gran valor para nuestra organización debemos empezar a pensar en poner en práctica un Plan Director de Seguridad. Pero antes de nada, definiremos cada concepto.

El análisis de riesgo, también conocido como evaluación de riesgos o PHA por sus siglas en inglés. Process Hazards Analysis, es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.

La gestión de riesgos (traducción del inglés Risk management) es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza, a través de una secuencia de actividades humanas que incluyen la identificación, el análisis y la evaluación de riesgo, para luego establecer las estrategias para su tratamiento

El Plan Director de Seguridad (PDS) se puede simplificar como la definición y priorización de un conjunto de proyectos en materia de seguridad de la información, dirigido a reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables a partir de un análisis de la situación inicial. Llevar a cabo un buen análisis nos permitirá centrar nuestro foco de atención en los riesgos asociados a los sistemas, procesos y elementos dentro del alcance del PDS. De esta forma mitigaremos la posibilidad de tener algún tipo de incidente de ciberseguridad. Se ha seleccionado un conjunto de fases que son comunes en la mayor parte de las metodologías para el análisis de riesgos:

Fase 1. Definir el alcance.

Fase 2. Identificar los activos.

Fase 3. Identificar / seleccionar las amenazas.

Fase 4. Identificar vulnerabilidades y salvaguardas.

Fase 5. Evaluar el riesgo.

En España existe una metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión. Esta metodología es MAGERIT.

La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.

MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

El análisis y gestión de los riesgos es un aspecto clave del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad. MAGERIT persigue los siguientes objetivos:

  • Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos
  • Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC)
  • Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control Indirectos:
  • Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso

MAGERIT es una metodología de carácter público, puede ser utilizada libremente y no requiere autorización previa. Por otra parte, dentro de las funciones del Centro Criptológico Nacional se encuentra la coordinación, promoción y desarrollo de soluciones que garanticen la seguridad de los sistemas y contribuyan a una mejor gestión de la ciberseguridad en cualquier organización y permitan una mejor defensa frente a los ciberataques. Entre estas soluciones se encuentra PILAR que son herramientas EAR (Entorno de Análisis de Riesgos) que soportan el análisis y la gestión de riesgos de un sistema de información siguiendo la metodología Magerit (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) y está desarrollada y financiada parcialmente por el CCN.

Compártenos en tus redes

Directiva de cookies

Este sitio utiliza cookies para el almacenamiento de información en su equipo.

¿Lo acepta?