Qué es el Análisis de Riesgos?

El análisis del riesgo es un método sistemático de recopilación, evaluación, registro y difusión de información necesaria para formular recomendaciones orientadas a la adopción de una posición o medidas en respuesta a un peligro determinado. Hay pequeñas variaciones en la terminología utilizada por las tres organizaciones. Sin embargo, las tres organizaciones hermanas consideran el análisis del riesgo como un proceso que consta de cuatro etapas:

1. La identificación del peligro consiste en especificar el acontecimiento adverso que es motivo de preocupación.

2. En la evaluación del riesgo se tiene en cuenta la probabilidad (la probabilidad real y no sólo la posibilidad) de que se produzca el peligro, las consecuencias si ocurre y el grado de incertidumbre que supone. (Obsérvese que esta descripción de la evaluación del riesgo es diferente de la definición que figura en el Acuerdo MSF.)

3.La gestión del riesgo consiste en la identificación y aplicación de la mejor opción para reducir o eliminar la probabilidad de que se produzca el peligro.

La comunicación del riesgo consiste en el intercambio abierto de información y opiniones aclaratorias que llevan a una mejor comprensión y adopción de decisiones.

Tipos de Metodologías para el Análisis de Riesgos

Las metodologias son marcos de referencias en donde se indican los pasos o pautas para llevar a cabo un adecuado análisis de riesgos, de forma general el proceso que las metodologias que enmarcan son los siguientes:

• Determinar los activos más importantes para la organización a la cual se está auditando
• Se le debe otorgar valor a cada uno de los activos que previamente se han identificado.
• Se debe determinar las amenazas a las cuales se encuentran expuestos cada uno de los activos.
• Se debe estimar el impacto que genera la amenaza en cada uno de los activos.
• Se debe calcular el nivel de riesgo.

Con la implementación de alguna de las metodologías que se exponen a continuación lo que se busca es  garantizarle a la empresa la tranquilidad de tener identificados sus riesgos y controles lo cual le van a permitir actuar en el momento de una eventual materialización de los riesgos  o evitar  que se presenten.

 A continuación haremos una identificación de las metodologías que existen  para el análisis de riesgos.

1. OCTAVE

En OCTAVE, los activos incluyen personas, hardware  y software, información y sistemas. Los activos se ordenan según la importancia que tienen para los objetivos  de la organización y posibles amenazas y vulnerabilidades asociados a dichos activos así como el impacto que generaría un problema en dicho activo. 

2. MAGERIT

Metodología de análisis y gestión de riesgos de los sistemas de información, promovida por el ministerio de administraciones públicas de España.

La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.

MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

3. ISO/IEC 27005:2011

Es un estándar para la gestión de riesgos de la seguridad de la información.

Etapas y fases que se desarrollan en este estándar.

1. Establecimiento del contexto 

2. Valoración del riesgo 

3. Tratamiento del riesgo

4. Aceptación del riesgo 

5. Comunicación del riesgo 

6. Monitoreo y revisión 

OCTAVE

OCTAVE

OCTAVE, metodología de evaluación de riesgos desarrollada por el SEI (Software Engineering Institute) de la Carnegie Mellon University.

 Las actividades que realiza Octave son :

• Inventario de activos
• Criterio de evaluación de impacto
• Criterio de evaluación de probabilidad
• Evaluación de prácticas de seguridad
• Selección de activos críticos
• Requisitos de activos críticos
• Perfiles de amenazas
• Pruebas de intrusión

ACTIVOS DE INFORMACIÓN

-Sistemas: Hardware, Software e información

- Personas

PERFILES DE AMENAZAS

-Acceso humano (físico)

-Acceso humano (Por red)

-Problemas de sistemas

-Otros problemas

ISO 27005

ISO 27005

Es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001.

ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización. No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria.

De la familia de normas 27000 que específicamente se encarga de la gestión de riesgos de seguridad de la información se encuentra el estándar 27005:2008. Para llevar a cabo la gestión de riesgo bajo la norma ISO  27005:2008 se debe realizar los siguientes pasos:

McFARLAN (Riesgos en proyectos)

MODELO McFARLAN (Riesgos en proyectos)

Plantea los siguientes factores de riesgo:

Experiencia de la tecnología aplicable (factor subjetivo interno). Pero la familiarización del equipo con el hardware, sistema operativo, gestores (DB, DC) y lenguajes también pasa por encontrar/absorber la experiencia externa como por ejemplo la formación.

Estructuración del proyecto (factor subjetivo externo): Los objetivos iniciales  del proyecto y sus resultados dependen de la claridad de los procedimientos trasladados por la organización”cliente” al equipo de desarrollo.

Tamaño del proyecto (factor objetivo, no reducible). Importa sobre todo el tamaño (en coste años- hombre) o relativo al tamaño de proyecto que el equipo desarrolla normalmente.

BOEHM

MODELO DE BOEHM:

Está estructurado en 7 factores. La seguridad esta mínimamente mencionada. Se resalta la definición del factor de facilidad de pruebas (Testeability) ya que esta característica es recomendable como una buena práctica del desarrollo de software seguro.

Riesgos en los recursos: Insuficiencias de personal, plazos y presupuestos irreales.

Riesgos de los requerimientos. Desarrollo de funciones equivocadas, desarrollo de interfaz de usuario equivocada, especificaciones excesivas, continuos cambios de requerimientos.

EBIOS

EBIOS

Metodología francesa de análisis y gestión de riesgos de seguridad de sistemas de información. El método EBIOS permite apreciar y tratar los riesgos relativos a la seguridad de los sistemas de información (SSI). Posibilita también la comunicación dentro del organismo y también con los asociados para contribuir al proceso de la gestión de los riesgos SSI. Brinda las justificaciones necesarias para la toma de decisiones; puede utilizarse para numerosas finalidades y procedimientos de seguridad, tales como la elaboración de esquemas directivos, de políticas, de políticas de protección o de objetivos de seguridad, de los planes de acción o de cualquier otra forma de pliego de condiciones de SSI. EBIOS  puede ser utilizado para estudiar tanto sistemas por diseñar como sistemas ya existentes. En el primer caso, permite determinar progresivamente las especificaciones de seguridad integrándose a la gestión de proyectos. En el segundo caso, considera las medidas de seguridad existentes e integra la seguridad a los sistemas en funcionamiento.