Análisis y Gestión de Riesgos Informáticos para proteger los Sistemas de Información

Resumen.- Desde los inicios de los sistemas informáticos se han visto involucrados en diferentes riesgos por no poseer seguridades ya sea en los recursos humanos, técnicos, de infraestructura, organizativos entre otros. Para evitar los efectos de la inseguridad se realizara un estudio del análisis y sus diferentes metodologías para evitar de los peligros de riesgo en una organización.

El análisis de riesgo nos ayudará a buscar cada una de las vulnerabilidades que posee la organización y una vez obtenidos los resultados podremos minimizar cada uno de los riesgos con las distintas metodologías que existen.

1.     INTRODUCCIÓN

La evolución de las Tecnologías de la Información y la Comunicación (TIC) ha sido un elemento clave para q exista un sinnúmero de amenazas y riesgos, tanto en la web como en los Sistemas Informáticos.

En su la mayoría las empresas e instituciones poseen Sistemas de Información los cuales son afectados en el funcionamiento de sus activos como en la vulnerabilidad de su sistema por no tener implementadas herramientas, políticas y normas de seguridad obteniendo el buen funcionamiento de la misma.

Sufriendo ataques de virus, hackers, y de los propios empleados o usuarios maliciosos que acceden con facilidad a la información confidencial y la utilizan de manera escrupulosa para causar daño a la empresa.

El análisis de riesgo nos ayudará a la identificación de las distintas amenazas, vulnerabilidades y riesgos de la información que posee su sistema, con la única solución de implementar los controles necesarios para la seguridad de su información en su disponibilidad, confidencialidad e integridad.

En la actualidad la mayoría de organizaciones se han visto afectadas en sus sistemas informáticos con amenazas tanto del interior como del exterior de la empresa debido al incremento y disponibilidad de la infraestructura tecnológica, reconociendo la falta de metodologías que permitan identificar, evaluar, valorar y controlar los riesgos de la tecnología de información que faciliten de una manera eficaz cumplir con los objetivos propuestos en la empresa.

 2.     DEFINICIONES

  • Seguridad Informática

Es la capacidad de mantener intacta y protegida la información de sistemas informáticos. [1]

  • Actores de la Seguridad

Etical Hackings o Hackers Éticos.- el objetivo fundamental del Ethical Hacking (hackeo ético) es explotar las vulnerabilidades existentes en el sistema de “interés” valiéndose de test de intrusión, que verifican y evalúan la seguridad física y lógica de los sistemas de información, redes de computadoras, aplicaciones web, bases de datos, servidores, etc. Con la intención de ganar acceso y “demostrar” que un sistema es vulnerable, esta información es de gran ayuda a las organizaciones al momento de tomar las medidas preventivas en contra de posibles ataques malintencionados. [2]

  • Vulnerabilidades

Son ciertas condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen llevan a esos activos a ser vulnerables. [8]

  • Amenazas

Siempre existen y son aquellas acciones que pueden ocasionar consecuencias negativas en la operativa de la empresa. [8]

  • Riesgos

Se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. [8]

  • Información

La información es el mensaje, esto es, el proceso de producción y de transmisión de mensajes. Se trata, por consiguiente, de un proceso humano y técnico de elaboración y transmisión de dichos mensajes. [6]

  • Sistema De Información

Es un conjunto de elementos organizados, relacionados y coordinados entre sí, encargados de facilitar el funcionamiento global de una empresa o de cualquier otra actividad humana para conseguir sus objetivos. [4]

  • Seguridad De La Información

La seguridad de la información se puede caracterizar por la preservación de:

  a)      Confidencialidad: Asegurar que el acceso a la información está adecuadamente autorizado.

 b)     Integridad: Salvaguardar la precisión y completitud de la información y sus métodos de proceso.

 c)      Disponibilidad: Asegurar que los usuarios autorizados pueden acceder a la información cuando la necesiten.”

  • Gestión De La Información

La gestión de información es el proceso que se encarga de suministrar los recursos necesarios para la toma de decisiones, así como para mejorar los procesos, productos y servicios de la organización. Con el objetivo de mostrar cómo influye la gestión de información en el desarrollo y fortalecimiento de los centros toxicológicos en la región de las Américas, se realizó una revisión sobre la aplicación de esta herramienta en los centros toxicológicos y las redes de toxicología. Debido a la importancia de los centros antitóxicos en el área, el conocimiento de las debilidades y fortalezas de la gestión de información en ellos permitirá trabajar en función de erradicar las dificultades en aras de perfeccionar el papel de los centros toxicológicos en el área. [7]

  • Activos

Los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección.

 3.     METODOLOGÍAS DE ANÁLISIS Y GESTIÓN DE RIESGO

 Existen varias metodologías que permiten realizar el receptivo análisis de los riesgos que se pueden presentar dentro de una empresa, por esta razón se muestra a continuación un estudio de las principales metodologías para el análisis y gestión de riesgos informáticos dentro de los sistemas de información, como por ejemplo: Magerit, Octave y Mehari.

 3.1.   MAGERIT: Análisis y Gestión de Riesgos de los Sistemas de la Información

 Es un instrumento para facilitar la implantación y aplicación del Esquema Nacional de Seguridad proporcionando los principios básicos y requisitos mínimos para la protección adecuada de la información.

 MAGERIT persigue los siguientes objetivos:

  • Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
  • Ofrecer un método sistemático para analizar tales riesgos.
  • Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
  • Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.

Elementos de MAGERIT

A continuación definimos brevemente los elementos considerados significativos por MAGERIT para el estudio de la Seguridad en Sistemas de Información.

  • Activos: recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por la dirección.
  • Amenazas: eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
  • Vulnerabilidad de un activo: potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo.
  • Impacto en un activo: consecuencia sobre éste de la materialización de una amenaza.
  • Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la organización
  • Servicio de salvaguarda: acción que reduce el riesgo.
  • Mecanismo de salvaguarda: procedimiento, dispositivo, físico o lógico, que reduce el riesgo.

Descripción del Proceso de Análisis y Gestión de Riesgos

En el proceso de análisis y gestión de riesgos de la seguridad en los sistemas de información podemos identificar las siguientes etapas:

  • Planificación
    En esta fase, se establece el objetivo del proyecto, el dominio de estudio y las restricciones generales. Deben también definirse las métricas con las que se valorarán los diferentes elementos de seguridad, de manera que los resultados finales de medición del riesgo sean definidos en función de los parámetros adecuados para cuantificar el riesgo por la organización (por ejemplo, definir la escala de frecuencias para medir la vulnerabilidad, definir las cantidades monetarias por las que cuantificar el impacto, etc).
  • Análisis de riesgos

Una vez definido el dominio, los analistas de riesgos procederán a realizar las entrevistas al personal de la organización para la obtención de información. En esta fase se identificarán los activos de la organización, identificando las relaciones que se establecen entre activos. De esta forma se obtiene el “árbol de activos” que representan las distintas dependencias y relaciones entre activos, es decir, todos aquellos elementos que están “encadenados entre sí” en términos de seguridad.
También se identifican el conjunto de amenazas, estableciendo para cada activo, cual es la vulnerabilidad que presenta frente a dicha amenaza. Además, se cuantifica el impacto, para el caso en el que la amenaza se materializase.

  • Gestión de riesgos

En esta fase, se procede a la interpretación del riesgo. Una vez identificado los puntos débiles, deben seleccionarse el conjunto de funciones de salvaguarda que podrían ser usados para disminuir los niveles de riesgo a los valores deseados. Para ello, deberán especificarse los mecanismos de salvaguarda que se encuentran implantados hasta ese momento y cuál es su grado de cumplimiento.
Este proceso se ayuda de la simulación. Se van probando selecciones de diferentes mecanismos de salvaguarda y se estudia en qué medida reducen los niveles de riesgo a los márgenes deseados. Es muy importante realizar las correctas estimaciones de la efectividad de los diferentes mecanismos de salvaguarda para ajustar de forma precisa los valores de riesgo.

  • Selección de mecanismos de salvaguarda

Una vez obtenidos estos resultados, se establece de nuevo reuniones con el equipo responsable del proyecto de la organización en estudio. De esta forma, se analizan los resultados obtenidos y se establece un plan de implantación de mecanismos.

  • Analisis de Riesgo

A la hora de dotar de seguridad a un sistema de información, hay que tratar en cuenta todos los elementos que lo componen, analizar el nivel de vulnerabilidad de cada uno de ellos ante determinadas amenzas y valorar el impacto que un ataque causaría sobre todo el sistema.[4]

  • Gestion de Riesgo

La gestión de riesgos es un proceso separado que utiliza los resultados del análisis de riesgo para seleccionar e impantar las medidas de seguridad(salvaguardas) adecuados para controlar los riesgos identificados.[5]

 3.2.   Octave

 El objetivo de octave va direccionado a 2 aspectos diferentes: riesgos operativos y practicas de seguridad. Ene ste caso la tecnologia es examinada en proporcion a las practicas de seguridad, esto permite a las compañias realizar la toma de decisiones de proteccion de informacion basados en los riesgos de confidencialidad, integridad y disponibilidad de los bienes afines a la informacion critica.

 3.3.   Mehari

Metodo Armonizado de Análisis de Riesgos esta metodlogia originalmente desarrollada por la comision Métodos deClusif, en 1996 utilizada para apoyar a los responsables de la seguridad informatica de una empresa mediante un analisis riguriso de los principales factores de riesgos evaluando cuantitativamente de acuerdo a la situacion de la organizacio donde se requiere el analisis, acopla los objetivos estrategicos exustentes con los nuevos metodos de funcionamiento de la empresa, estpo se lo realiza mendiante una politica de seguridad y mantenimeinto de los riesgos a un nivel convenido.

 4.     CONCLUSIONES

  • La seguridad informática es muy importante en una organización con el fin de proteger sus activos.
  • Con un análisis de riesgo en la organización es de gran ayuda porque permite obtener información sobre el tratamiento de las vulnerabilidades y un estudio general del estado de seguridad de su entorno.
  • Con los resultados obtenidos se puede poner un alto a cada una de las vulnerabilidades encontradas para garantizar el adecuado funcionamiento de la organización a más de anticiparse a nuevas vulnerabilidades que puedan surgir a lo largo del tiempo.
  • Con el avance de la tecnología cada organización es más propensa a obtener riesgos en la infraestructura humana, tecnológica, de procesos y física los cuales son pilares fundamentales en el funcionamiento de la misma.
  • El análisis de riesgos tiene como resultado los informes de recomendaciones de seguridad, para que la organización pueda evaluar los riesgos a que está sometida y conocer cuáles son los activos de los procesos de negocio que están más susceptibles a la acción de amenazas a la confidencialidad, integridad y disponibilidad de la información utilizada para alcanzar los objetivos intermedios o finales de la organización.

 Referencias

 [1] GONZALO, Asensio (2006). Seguridad en Internet. Una guía práctica y eficaz para proteger. Primera Edición. Ediciones Nowtilus, S.L. Madrid.

  [2]   REYES; Alejandro. (2011). Ethical Hacking. 26 de Octubre de 2011. Disponible en: http://www.seguridad.unam.mx/documento/?id=7

 [4]   AGUILERA, Purificación (“s.f”). Seguridad Informática. Editorial Editex. Madrid-España.

[5]   DE PABLOS, Carmen; LÓPEZ, José Joaquín; ROMO, Santiago; MEDINA, Sonia; MONTERO, Antonio, NÁJERA, Juan José (2006). Dirección y gestión de los sistemas de información en la empresa, Una visión integradora.  Segunda Edición. ESIC Editorial. Madrid.

[6] ESPAÑOLA, Cáritas (1997). Informática, información y Comunicación. Madrid.

[7] CAPOTE, Belina; GONZÁLEZ, Diego; RODRÍGUEZ, Emma. (2003). La gestión de información como herramienta fundamental en el desarrollo de los centros toxicológicos. 26 de Octubre de 2011. Disponible en:

http://bvs.sld.cu/revistas/aci/vol11_2_03/aci030203.htm

[8] SENA, Leonardo; TENZER, Simón. (Agosto 2004). Introducción a Riesgo Informático. Disponible en: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

Realizado por: Cristina Padilla

This entry was posted in Seguridad, Uncategorized. Bookmark the permalink.

2 Responses to Análisis y Gestión de Riesgos Informáticos para proteger los Sistemas de Información

  1. Marta Pastor says:

    Claro y conciso. Muchas gracias. Besos!

  2. Pingback: breast actives

Leave a Reply

Your email address will not be published. Required fields are marked *


*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>