Cyberspatia

El primer paso para realizar el  análisis  de  riesgos es inventariar o identificar los activos, establecer las dependencias existentes entre ellos, así como realizar una valoración homogénea de los mismos siguiendo el criterio basado  en  las  características  principales  de  la  información:  integridad,  confidencialidad  y disponibilidad.

​

Para una mejor comprensión presentamos una lista de términos relacionados con la serie ISO 27000 y la seguridad de la información, definidos en el contexto de los sistemas de gestión de seguridad de la información.

Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. Los factores que lo componen son la amenaza y la vulnerabilidad.

 

Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.

​

Activo: En relación con la seguridad de la información, se refiere a cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas...) que tenga valor para la organización.

​

Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.

​

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas.

​

Impacto: El coste para la empresa de un incidente -de la escala que sea-, que puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de reputación, implicaciones legales, etc-.

 

Riesgo intrínseco: Es la posibilidad de que se produzca un impacto determinado en un activo o en un grupo de activos.

​

Salvaguarda/Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Control es también utilizado como sinónimo de salvaguarda o contramedida. En una definición más simple, es una medida que modifica el riesgo.

​

Resiliencia: Es la capacidad de un sistema, comunidad o sociedad expuestos a una amenaza para resistir, absorber, adaptarse y recuperarse de sus efectos de manera oportuna y eficaz, lo que incluye la preservación y la restauración de sus estructuras y funciones básicas.

​

Si nuestro  inventario  es  muy  extenso  podemos  decidir  realizar  el  análisis  de  riesgos  sólo  de  los  activos más críticos.  

 

Una vez realizado el inventario,  se  identifican  las  amenazas  que  pueden  afectar  a  estos  activos.  Se  realiza  una valoración en función del impacto que la amenaza puede causarle en el caso de que se materialice. 

 

Seguidamente,  analizaremos  las  vulnerabilidades  de  los  activos  identificados  y  se  realizará  una valoración de las mismas. Si un activo está expuesto a una amenaza pero no tiene una vulnerabilidad que le permita manifestarse, el riesgo es menor que si existe la vulnerabilidad. 

 

Una  vez  analizados  los  activos,  las  amenazas  y  las  vulnerabilidades  que  pueden  afectar  a  nuestros activos, se debe realizar un análisis de las salvaguardas o medidas de seguridad ya implantadas en la organización.

​

El proceso de análisis de riesgos debe estar perfectamente documentado. Existen muchas metodologías para realizar el análisis: Magerit, OCTAVE, ISO27005, entre otras.

​

La  inversión  en seguridad tiene que ser proporcional al riesgo.

​