vit0y4

Continuemos por donde íbamos, el análisis de riesgo.

Para entender en que consiste el análisis de riesgo lo primero es analizar varios conceptos, Amenaza, vulnerabilidad y claro riesgo.
Una Amenaza es aquella posibilidad existente en nuestro medio, de causar daño o de violar la seguridad de nuestros activos. Las amenazas siempre van a estar presentes incluso se pueden tipificar:


Algunos ejemplo que se pueden citar son los virus, spywares, adware, escaneo de puertos... todas aquellas cosas a las que se expone un sistema, incluso como se ve en el gráfico los eventos climáticos y ambientales, son amenazas que siempre están ahí y que nunca se pueden dejar de lado.

Una Vulnerabilidad es una debilidad de un sistema que lo hace vulnerable a ataques tanto internos como externos. Las amenazas se aprovechan de las vulnerabilidades para generar los problemas o fallas en los activos. El ejemplo clásico y bastante ilustrativo es: Amenaza=virus
Vulnerabilidad=ausencia de antivirus o antivirus desactualizado.
El resultado, generalmente llamado impacto, siempre va a depender de la información que se manejara en el sistema que resulto infectado y del tipo de virus y el daño que cause, en términos financieros y de otros recursos.

Y el riesgo es la posibilidad de que una amenaza pueda explotar una vulnerabilidad. El riesgo es frecuentemente relacionado con el tiempo, es decir el riesgo es mayor o mal alto cuando la amenaza puede explotar una vulnerabilidad muy pronto, o de hecho la explota frecuentemente.

Bueno ya analizados estos temas, debo advertir que no es lo mismo hablar de Análisis de Riesgo que hablar de Test de Vulnerabilidades, aunque el análisis de riesgo puede incluir un test de vulnerabilidades, estos en las metodologías de gestión se convierten en salvaguardas o controles.

La Norma ISO 27001 brinda la libertad de escoger cualquier método de calculo y análisis de riesgo. Yo personalmente les recomiendo la MAGERIT ya que es muy clara, brinda todos los lineamientos necesarios para hacer el análisis tanto cuantitativo como cualitativo incluso brinda ejemplos; existen otras metodologías pero son traducidas del ingles y a mi modo de ver no son claras en las formulas para efectuar los cálculos necesarios. Dependiendo de la metodología, del tamaño de la empresa y de la rapidez con la que se desee realizar este trabajo, se debe escoger la escala que se utilizará para medir el impacto y el riesgo con los respectivos criterios claramente especificados por cada amenaza.

Primero debemos tomar el listado de los activos y asignar un valor de acuerdo con una escala donde estén claramente definidos los criterios, es decir que significa que haya tomado uno u otro valor, básicamente lo que debemos preguntarnos cuando le asignamos este valor a cada activo es: ¿Cuanto vale este activo para la empresa? claro tanto en dinero como en importancia operativa. Este paso de valoración de activos es común en la gran mayoría de las metodologías de análisis de riesgo, ya de aquí en adelante los cálculos pueden variar bastante de una metodología a otra.

En la próxima parte veremos algunas de las diferencias comunes entre metodologías de evaluación de riesgos.

__________________