Gestión de Riesgos para la Seguridad de la Información | Conjunto-2

Posted on by Rudeus Greyrat

Requisito previo: gestión de riesgos | Set-1
2. Evaluación de
riesgos: la gestión de riesgos es una actividad recurrente, por otro lado, la evaluación de riesgos se ejecuta en puntos discretos y hasta la realización de la próxima evaluación. La evaluación de riesgos es el proceso de evaluar amenazas y vulnerabilidades conocidas y postuladas para determinar la pérdida esperada. También incluye establecer el grado de aceptabilidad de las operaciones del sistema.

La evaluación de riesgos recibe entradas y salidas de la fase de establecimiento del contexto y la salida es la lista de riesgos de riesgo evaluados, donde los riesgos reciben prioridades según los criterios de evaluación de riesgos.

  1. Identificación de riesgos:
    en este paso identificamos lo siguiente:
    • activos
    • amenazas
    • medidas de seguridad existentes y previstas
    • vulnerabilidades
    • consecuencia
    • procesos comerciales relacionados

    Por lo tanto, la salida incluye lo siguiente:

    • lista de activos y procesos comerciales relacionados con la lista asociada de amenazas, medidas de seguridad existentes y planificadas
    • lista de vulnerabilidades no relacionadas con ninguna amenaza identificada
    • lista de escenarios de incidentes con sus consecuencias
  2. Estimación de riesgos:
    existen 2 métodos para la evaluación de riesgos:

    1. Evaluación cuantitativa de riesgos: esta metodología no es utilizada principalmente por las organizaciones, excepto por las instituciones financieras y las compañías de seguros. El riesgo cuantitativo se expresa matemáticamente como expectativa de pérdida anualizada (ALE). ALE es la pérdida monetaria esperada que se puede esperar para un activo debido a un riesgo que se realiza durante un período de un año.

    ALE= SLE * ARO

    La expectativa de pérdida única (SLE) es el valor de una sola pérdida del activo. Esto puede o no ser el activo completo. Este es el impacto de la pérdida. La tasa anualizada de ocurrencia (ARO) es la frecuencia con la que ocurre la pérdida. Esta es la probabilidad.

    Teóricamente, la evaluación de riesgos cuantitativa parece sencilla, pero existen problemas al asignar valores a los parámetros. Si bien el costo del sistema es fácil de definir, los costos indirectos como el valor de la información, la actividad de producción perdida y el costo de recuperación son difíciles de definir con precisión. La probabilidad del otro elemento no se conoce con precisión.

    Por lo tanto, existe un gran margen de error en la Evaluación Cuantitativa de Riesgos. Debido a la falta de disponibilidad de información precisa y completa, no es rentable realizar una evaluación de riesgos cuantitativa para un sistema de TI.

    2. Evaluación cualitativa de riesgos: la evaluación cualitativa de riesgos define la probabilidad, los valores de impacto y el riesgo en términos subjetivos, teniendo en cuenta que los valores de probabilidad e impacto son muy inciertos. Las evaluaciones de riesgo cualitativas suelen dar resultados de riesgo de «Alto», «Moderado» y «Bajo». Los siguientes son los pasos en la evaluación cualitativa de riesgos:

    1. Identificación de amenazas: se deben identificar las amenazas y las fuentes de amenazas. Las amenazas deben incluir la fuente de la amenaza para garantizar una estimación precisa. Es importante compilar una lista de todas las posibles amenazas que están presentes en toda la organización y utilizar esta lista como base para todas las actividades de gestión de riesgos. Algunos de los ejemplos de amenaza y amenaza-fuente son:
      • Amenazas naturales: inundaciones, terremotos, etc.
      • Amenazas humanas: virus, gusanos, etc.
      • Amenazas ambientales: corte de energía, contaminación, etc.
    2. Identificación de vulnerabilidades: las vulnerabilidades se identifican por numerosos medios. Algunas de las herramientas son:
      1. Escáneres de vulnerabilidad: este es el software que compara el sistema operativo o el código en busca de fallas con la base de datos de firmas de fallas.
      2. Pruebas de penetración: el analista de seguridad humana ejercerá amenazas contra el sistema, incluidas las vulnerabilidades operativas como la ingeniería social.
      3. Auditoría de controles operativos y de gestión: los controles operativos y de gestión se revisan comparando la documentación actual con las mejores prácticas, por ejemplo, ISO 17799 y comparando las prácticas reales con los procesos documentados actuales.
    3. Relacionar amenazas con vulnerabilidades: esta es la actividad más difícil y obligatoria en la evaluación de riesgos. La lista de pares de TV se establece revisando la lista de vulnerabilidades y emparejando una vulnerabilidad con cada amenaza que se aplica, luego revisando la lista de amenazas y asegurándose de que se hayan identificado todas las vulnerabilidades contra las que esa acción de amenaza/amenaza puede actuar.
    4. Definición de Probabilidad: Probabilidad es la probabilidad de que una amenaza causada por una fuente de amenaza ocurra contra una vulnerabilidad. Las definiciones de probabilidad de muestra pueden ser como:

      Baja -0-30 % de probabilidad de ejercer con éxito la Amenaza durante un período de un año
      Moderada: 31-70 % de probabilidad de ejercer con éxito la Amenaza durante un período de un año
      Alta: 71-100 % de probabilidad de ejercer con éxito la Amenaza durante un año período

      Esta es solo una definición de muestra. La organización puede usar su propia definición como Muy bajo, Bajo, Moderado, Alto, Muy alto.

    5. Definición de impacto: el impacto se define mejor en términos de impacto sobre la confidencialidad, la integridad y la disponibilidad. Las definiciones de muestra para el impacto son las siguientes:
      Confidencialidad Integridad Disponibilidad
      Bajo La pérdida de confidencialidad conduce a un efecto limitado en la organización La pérdida de integridad conduce a un efecto limitado en la organización La pérdida de disponibilidad conduce a un efecto limitado en la organización
      Medio La pérdida de confidencialidad conduce a un efecto grave en la organización La pérdida de integridad conduce a un efecto grave en la organización La pérdida de disponibilidad conduce a un efecto grave en la organización
      Alto La pérdida de confidencialidad conduce a un efecto grave en la organización La pérdida de integridad conduce a un efecto grave en la organización La pérdida de disponibilidad conduce a un efecto grave en la organización

      Ejemplos de efectos organizacionales son los siguientes:

      Tipo de efecto Efecto sobre la capacidad de la misión Perdidas financieras Efecto sobre la vida humana
      Efecto limitado Pérdida temporal de una o más capacidades de misión menor Menos de 50 000 rupias daño menor
      Efecto grave Pérdida a largo plazo de una o más capacidades menores o Pérdida temporal de una o más capacidades de la misión principal. 50.000 rupias- 1.00.000 rupias Daño significativo
      Efecto severo Pérdida a largo plazo de una o más capacidades de misión primaria más de Rs 1, 00, 000 Pérdida de vida
    6. Evaluación del riesgo: la evaluación del riesgo es el proceso para determinar la probabilidad de que la amenaza se ejerza contra la vulnerabilidad y el impacto resultante de un compromiso exitoso. La array de determinación de riesgo de muestra es la siguiente:
      Impacto
      Alto Moderado Bajo
      Probabilidad Alto Alto Alto Moderado
      Moderado Alto Moderado Bajo
      Bajo Moderado Bajo Bajo

3. Evaluación de riesgos: el proceso de evaluación de riesgos recibe como entrada la salida del proceso de análisis de riesgos. Primero compara cada nivel de riesgo con los criterios de aceptación del riesgo y luego prioriza la lista de riesgos con indicaciones de tratamiento de riesgos.

3. Mitigación/gestión de
riesgos: la mitigación de riesgos implica priorizar, evaluar e implementar los controles de reducción de riesgos adecuados recomendados en el proceso de evaluación de riesgos. Dado que eliminar todos los riesgos en una organización es casi imposible, es responsabilidad de la alta dirección y los gerentes funcionales y comerciales utilizar el enfoque de menor costo e implementar los controles más apropiados para reducir el riesgo a un nivel aceptable.

Según el marco NIST SP 800 30, hay 6 pasos en la mitigación de riesgos.

  1. Asunción de Riesgo: Esto significa aceptar el riesgo y continuar operando el sistema pero al mismo tiempo tratar de implementar los controles para
  2. Prevención de riesgos: Esto significa eliminar la causa o consecuencia del riesgo para evitar el riesgo, por ejemplo, apagar el sistema si se identifica el riesgo.
  3. Limitación de riesgo: para limitar el riesgo mediante la implementación de controles que minimicen el impacto adverso de una amenaza ejerciendo una vulnerabilidad (p. ej., uso de controles de apoyo, preventivos y de detección)
  4. Planificación de riesgos: gestionar el riesgo mediante el desarrollo de un plan de mitigación de riesgos que priorice, implemente y mantenga controles
  5. Investigación y Reconocimiento: En este paso implica reconocer la vulnerabilidad o falla e investigar controles para corregir la vulnerabilidad.
  6. Transferencia de riesgo: Esto significa transferir el riesgo para compensar la pérdida, por ejemplo, la compra de garantías de seguro no es del 100 % en todos los casos, sino al menos de alguna recuperación de la pérdida.

4. Comunicación de riesgos:
el objetivo principal de este paso es comunicar, brindar una comprensión de todos los aspectos del riesgo a todas las partes interesadas de una organización. Establecer un entendimiento común es importante, ya que influye en las decisiones que se toman.

5. Supervisión y revisión de riesgos:
las medidas de seguridad se revisan regularmente para garantizar que funcionen según lo planeado y que los cambios en el entorno no las hagan ineficaces. Con cambios importantes en el entorno de trabajo, las medidas de seguridad también deben actualizarse. Los requisitos comerciales, las vulnerabilidades y las amenazas pueden cambiar con el tiempo. Se deben programar auditorías regulares y deben ser realizadas por una parte independiente.

6. Evaluación y evaluación de TI:
se deben validar los controles de seguridad. Los controles técnicos son sistemas que necesitan ser probados y verificados. La evaluación de vulnerabilidades y la prueba de penetración se utilizan para verificar el estado de los controles de seguridad. Monitorear los eventos del sistema de acuerdo a una estrategia de monitoreo de seguridad, un plan de respuesta a incidentes y la validación y métricas de seguridad son actividades fundamentales para asegurar que se obtenga un nivel óptimo de seguridad. Es importante controlar las nuevas vulnerabilidades y aplicar controles técnicos y de procedimiento, por ejemplo, actualizar periódicamente el software.

Publicación traducida automáticamente

Artículo escrito por rashi_garg y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *