Apreciación de riesgos de SI
Riesgos de SI
La seguridad informática se puede definir básicamente como preservación de la confidencialidad, integridad y disponibilidad de sistemas de información. Dependiendo del entorno de la organización, puede tener diferentes amenazas que comprometen objetivos mencionados anteriormente. A un riesgo específico, la organización tiene tres alternativas:
- Acepta el riesgo
- Hacer algo para disminuir la posibilidad de ocurrencia del riesgo
- Transferir del riesgo, por ejemplo, a través de un contrato de seguro.
A las medidas que se toman para disminuir un riesgo se llama controles de seguridad. Los controles de seguridad informática generalmente se clasifican en tres categorías:
- Controles físicos
- Controles lógicos o técnicos
- Controles administrativos
Para que los controles sean efectivos, deben integrarse en lo que se llama arquitectura de seguridad informática, que debe ser coherente con los objetivos de la organización y las prioridades de posibles amenazas de acuerdo con el impacto que tienen en la organización. Por lo tanto, una fase fundamental en el diseño de la arquitectura en seguridad informática es la etapa de análisis de riesgos. Independientemente del proceso seguido, el análisis de riesgos incluye los siguientes pasos:
- Definir los activos informáticos a analizar.
- Identificar las amenazas que pueden comprometer la seguridad.
- Determinar la probabilidad de ocurrencia de amenazas.
- Determinar el impacto de las amenazas.
- Recomendar controles que disminuyan la probabilidad de riesgos.
- Documentar el proceso.
Las metodologías de análisis de riesgos difieren esencialmente en la forma estimar la probabilidad de ocurrencia de una amenaza y en forma de determinar el impacto en la organización. Las metodologías más utilizadas son cualitativas, en el sentido de que dan una caracterización «alta / media / baja» a la posibilidad de contingencia en lugar de una probabilidad específica. El estándar ISO / IEC 27001 adopta una metodología de análisis de riesgos cualitativa.
Posiblemente una de las principales razones por las cuales los problemas de la seguridad informática no se han resuelto es por la aparición frecuente de nuevas amenazas, como ejemplo de esto, está la evolución del malware: virus altamente dañinos y generalizados.
Precisamente una de las debilidades de las metodologías de análisis de riesgos, es que parten de una visión estática de las amenazas y al igual que los controles necesarios para disminuir los riesgos. El ciclo de vida establecido para arquitecturas de seguridad informática, generalmente es demasiado extenso en un entorno en constante cambio.
Metodologías para Riesgos de SI
La metodología propuesta de análisis para riesgos de SI y diseño de una arquitectura de la seguridad informática se centra en el concepto de control adaptativo, debido a la complejidad inherente de información, este concepto se aplicará como referencia en lugar de una estricta teoría del control.
- Establecer objetivos de control a alcanzar y/o mantener, en términos de confidencialidad, integridad y/o disponibilidad de los subsistemas del sistema para analizar.
- Definir una medida que permita cuantificar el grado de logro de los objetivos de control o la desviación de los mismos. Nombraremos dicha medición, la función de control, que medirá el grado de confidencialidad, integridad y/o disponibilidad del subsistema.
- El control de seguridad debe diseñarse en términos de tres componentes: El “Detector”, que medirá la función en tiempo real objetivo, el “Ajustador” en base a un modelo de referencia debe establecer una configuración de parámetros en el “Controlador”.
Diplomado de Seguridad de la Información ISO 27001
La Escuela Europea de Excelencia ha diseñado un Diplomado de Seguridad de la Información ISO 27001 para que los profesionales en seguridad de la información puedan hacer frente a los retos que se plantean frente a riesgos de SI en la norma ISO 27001. Este diplomado ofrece un programa completo para que el alumno pueda dar respuesta a todas las necesidades del proyecto ISO 27001 que esté liderando.
El Diplomado de Seguridad de la Información con la ISO 27001, como el resto de cursos de la Escuela Europea de Excelencia, está diseñado por y para profesionales. Ha sido desarrollado por expertos en activo de los Sistemas de Gestión de Seguridad de la Información a nivel internacional. Además de la enriquecedora interacción con estos docentes, esta formación le pondrá en contacto con profesionales de otras nacionalidades, lo que se traducirá en una experiencia enriquecedora para todos los alumnos.