Libros de Seguridad de la Información

jueves, 19 de abril de 2007

Gestión de Riesgo en Seguridad de la Información

Nada mejor que iniciar este blog hablando de la Gestión de Riesgo, a mi parecer una de la piezas principales en la Gestión de la Seguridad de la Información, aunque lamentablemente la menos tomada en cuenta.
La Gestión del Riesgo de Seguridad es la coordinación de las actividades para dirigir y controlar una organización en torno al riesgo de seguridad (ISO Guide 73:2002). Estas actividades se conforman por un proceso continuo de evaluación del riesgo, tratamiento del riesgo, monitoreo continuo, revisión y reevaluación del riesgo. Existen cuatro tipos de enfoque de gestión de riesgo que pudiera determinar la estrategia a seguir:

  1. Línea Base: consiste en aplicar una línea base de seguridad a todos los activos al seleccionar un estándar de contra-medidas. una ventaja es que disminuye el tiempo y esfuerzo en la selección de las contra-medidas. En caso que el nivel de la línea base sea muy alto pudiera haber un nivel de seguridad excesiva en activos que no lo requieran, pero por el contrario, si el nivel de la línea base es muy bajo pudiera haber una falta de seguridad en determinados activos, teniendo como resultado un alto nivel de exposición.
  2. Informal: conduce un análisis de riesgo en algunos casos carente de una estructura metodológica, se basa principalmente en el conocimiento y experiencia de los individuos que lo ejecutan. Se aplica en los momentos que se perciba una exposición de seguridad en algunos de los activos. Con este tipo de enfoque se pueden perder detalles en el análisis por carecer de un checklist o puntos de revisión, se hace difícil justificar una contramedida sugerida, pudiera ser introducido un grado de subjetividad en el análisis ya que prejuicios individuales en los revisores pudieran influenciar los resultados.
  3. Detallado: comienza con la identificación y la valoración de los activos, evaluación de las amenazas y vulnerabilidades de los activos identificados. El resultado de estas evaluaciones sirven para valorar los riesgos y seleccionar los controles y contramedidas. Esta opción requiere de mucho tiempo, esfuerzo y experticia para conseguir resultados. Cabe la posibilidad de determinar las necesidades de seguridad de un activo crítico de forma muy tardía, por lo que no se aconseja aplicar este enfoque en todos los activos.
  4. Combinado: consiste en conducir un análisis de riesgo de alto nivel en toda la organización, enfocándose en el valor para el negocio y en la severidad del riesgo para el cual es expuesto. Para aquellos activos que sean de gran valor para el negocio o que sean de alto riesgo se les debe aplicar un enfoque detallado en orden de prioridad. Para el resto se aplica la línea base de seguridad. De esta forma se logra un balance entre las necesidades de seguridad, tiempo, esfuerzo y costo.

La adopción del enfoque depende del tipo de organización, recursos, conocimiento y experiencia con el que se cuente, ya establecida la estrategia la próxima decisión es las Metodologías de Análisis de Riesgo a utilizar, la cual debe estar acorde a la estrategia adoptada. (Las metodologías serán discutidas en artículos posteriores)

Lecturas recomendadas:

  • ISO 13335 Guía para la Administración de Seguridad TI (específicamente la parte 3). Si lo prefieren en español la UNE 71501 (AENOR).
  • ISO Guide 73.
  • BS7799-3:2006 Guía para la Gestión de Riesgo de Seguridad de la Información. En espera de la ISO 27005.
Google