Independientemente del sector al que pertenezca una organización, o del marco de gestión de la seguridad de la información que utilice, es más que probable que tenga que realizar una evaluación de riesgos. A menudo, éste es uno de los principales puntos débiles y fuente de confusión para muchas organizaciones, ya que el término evaluación de riesgos puede adoptar diversos significados según el contexto. Incluso la palabra "riesgo" puede significar cosas distintas para personas distintas. Esta guía proporcionará aclaraciones sobre estos temas y mucho más.
Para realizar una evaluación de riesgos, es importante entender a qué se refiere la palabra "riesgo" en el contexto de la seguridad de la información. Las palabras amenaza, vulnerabilidad y riesgo suelen utilizarse indistintamente en el lenguaje cotidiano, pero en el contexto de la seguridad de la información tienen significados distintos. Una vulnerabilidad es un punto débil en la seguridad de la información de una organización. Una amenaza es un peligro que puede explotar una vulnerabilidad. Las partes que representan una amenaza y llevan a cabo la explotación de una vulnerabilidad suelen denominarse agentes de amenaza. El riesgo es el impacto de que una amenaza explote una vulnerabilidad teniendo en cuenta la probabilidad de que ese suceso ocurra. Se puede expresar como
Impacto de una amenaza x Probabilidad de que ocurra = Riesgo
Por ejemplo, un ordenador con un software antivirus cuyas definiciones de virus están desfasadas representa una vulnerabilidad, mientras que una infección por malware representa una amenaza. Si el impacto de este suceso se percibe como catastrófico y muy probable de que ocurra, entonces representaría un riesgo crítico. Sin embargo, si el impacto de este suceso se percibiera como mínimo y con pocas probabilidades de ocurrir, entonces representaría un riesgo bajo.
Los términos evaluación de riesgos y análisis de riesgos describen actividades relacionadas, pero diferentes. Una evaluación de riesgos es el proceso de identificar todas las amenazas y vulnerabilidades y sus correspondientes impactos y probabilidades. Esencialmente, se trata de que la organización responda a la pregunta: "¿Qué puede ir mal?" Un análisis de riesgos evalúa los hallazgos descubiertos durante la evaluación de riesgos. Las actividades típicas realizadas durante un análisis de riesgos incluyen:
Existen numerosos tipos diferentes de amenazas, así como vulnerabilidades, que una organización debe identificar. Aunque cada organización existe en un entorno de amenazas único, hay muchas amenazas y vulnerabilidades comunes presentes en la mayoría de las organizaciones.
Las amenazas pueden ser humanas o no humanas y originarse interna o externamente. Por ejemplo, algunas amenazas/agentes de amenaza comunes son, entre otras:
Como ya se ha dicho, las vulnerabilidades son puntos débiles presentes en una organización que pueden ser explotados. Es fundamental que las vulnerabilidades se identifiquen adecuadamente, ya que la gestión de vulnerabilidades está dentro del control de la organización, mientras que ésta tiene poco o ningún control sobre las amenazas a las que se enfrenta. Las vulnerabilidades más comunes son, entre otras:
Dos enfoques comunes del análisis de riesgos son el cuantitativo y el cualitativo. Un análisis de riesgos cuantitativo intenta asignar un coste monetario asociado a que un agente de amenaza explote una vulnerabilidad. Un análisis de riesgos cualitativo utiliza descriptores para categorizar los riesgos. Por ejemplo, puede utilizarse un esquema jerárquico, como riesgos altos, medios y bajos, para establecer prioridades. Ambos métodos tienen sus ventajas, por lo que una organización debe determinar qué método es el adecuado para su situación particular.
Aunque hay múltiples formas de determinar los valores monetarios asociados a los riesgos, existen algunos conceptos clave que se consideran fundamentales a la hora de realizar un análisis cuantitativo de riesgos. Estos conceptos clave son
La SLE se calcula mediante la siguiente fórmula
Valor del Activo x Factor de Exposición = SLE
El ALE se calcula mediante la siguiente fórmula
SLE x ARO = ALE
Por ejemplo, si el valor de un activo es de 10.000 $, y una empresa prevé que una amenaza concreta costará el 25% del valor del activo, entonces la esperanza de pérdida única es de 2.500 $. Si la ARO es de 0,5, lo que significa que el suceso ocurrirá una vez cada dos años, la esperanza de pérdida anual se calcularía multiplicando la SLE de 2.500 $ por 0,5, es decir, 1.250 $. Estos valores son extremadamente útiles para una organización, ya que pueden utilizarse para identificar los riesgos de alto impacto, priorizar los riesgos y proporcionar a la dirección valores concretos a partir de los cuales tomar decisiones.
Este tipo de análisis de riesgos es útil porque proporciona una perspectiva de alto nivel de los riesgos a los que se enfrenta una organización. Aunque hay muchas formas diferentes de asignar valores al impacto y a la probabilidad, un esquema común consiste en aplicar alto, medio y bajo a cada factor. Estos valores pueden utilizarse para construir una matriz que puede tener este aspecto:
| Impacto |
|||
| Probabilidad |
Catastrófico |
Grave |
Mínima |
| Inminente |
Alto riesgo |
Riesgo alto |
Riesgo Medio |
| Probable |
Riesgo alto |
Riesgo medio |
Riesgo bajo |
| Improbable |
Riesgo medio |
Riesgo bajo |
Riesgo Mínimo |
Esta matriz puede utilizarse como herramienta de decisión para la dirección. Por ejemplo, una organización puede decir que los riesgos alto y medio deben abordarse de alguna manera para reducir el nivel de riesgo a un nivel aceptable.
Existen numerosas metodologias publicadas para ayudar a guiar a una organizacion a traves del proceso de evaluacion y analisis de riesgos que varian en terminos de complejidad y alcance.
Esta publicación, una de las metodologías más populares, proporciona orientación para realizar evaluaciones de riesgos de todos los tamaños. Desde evaluaciones a escala de toda la organización hasta evaluaciones específicas de aplicaciones, esta metodología describe técnicas para la identificación de amenazas y vulnerabilidades, análisis de controles, determinación de probabilidades e impactos, así como requisitos para informar de los resultados de las evaluaciones de riesgos.
Esta metodología es útil cuando una organización ha implantado un sistema de gestión de la seguridad de la información utilizando la norma ISO/IEC 27001. Aunque proporciona orientaciones muy similares a las de la publicación del NIST, la ISO/IEC 27005 se centra más en el aspecto más blando de la seguridad de la información, haciendo hincapié en la necesidad de documentación, recursos humanos y formación.
La evaluación y el análisis de riesgos deben ser un proceso continuo, ya que el entorno de amenazas de una organización evoluciona constantemente. Esto permitirá a una organización mitigar los riesgos hasta un nivel aceptable, identificando los controles adicionales que puede ser necesario implantar, o determinar otras acciones que la organización pueda emprender para hacer frente al riesgo. La evaluación y el análisis de riesgos son fundamentales para desarrollar y mantener una organización segura, ya que obligan a las organizaciones a reconocer y abordar los riesgos, además de permitirles asignar correctamente los recursos para reducirlos de la forma más eficaz.