ANÁLISIS DE IMPACTO Y ANÁLISIS DE RIESGOS
Se llama análisis de impactoal ejercicio de pensar en las consecuencias de que haya un incidente, accidental o deliberado. O sea, responder preguntas del tipo: ¿qué pasaría si se revela un dato confidencial? ¿Qué pasaría si manipulan nuestra información? ¿Qué pasaría si nos quedamos sin servicio durante X horas?
Dentro del contexto de un análisis de riesgos, es la estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.
Riesgo: Se considera riesgo la estimación del grado de exposición de un activo, a que una amenaza se materialice sobre él causando daños a la organización.
El riesgo indica lo que le podría pasar a los activos si no se protegen adecuadamente.
Amenaza: son los eventos que pueden desencadenar un incidente, produciendo daños materiales o inmateriales a los activos.
Vulnerabilidad: son las debilidades que tienen los activos o grupos de activos que pueden ser aprovechadas por una amenaza.
Impacto: es la consecuencia de la materialización de una amenaza sobre un activo.
Riesgo intrínseco: es la posibilidad de que se produzca un impacto determinado en un activo o en un grupo de activos.
Salvaguarda: son las prácticas, procedimientos o mecanismos que reducen el riesgo. Estas pueden actuar disminuyendo el impacto o la probabilidad.
Riesgo residual: es el riesgo que queda tras la aplicación de salvaguardas. Por muy bien que protejamos nuestros activos, es imposible eliminar el riesgo en un 100% por lo que siempre quedará un riesgo residual.
El análisis de riesgos se define como la utilización sistemática de la información disponible, para identificar peligros y estimar los riesgos. A la hora de diseñar un SGSI, es primordial ajustarse a las necesidades y los recursos de la organización para que se puedan cubrir las expectativas, llegando al nivel de seguridad requerido con los medios disponibles.
La inversión en seguridad tiene que ser proporcional al riesgo
Hay 4 formas de afrontar los riesgos:
- Eliminar: esto se consigue eliminando los activos a los que este riesgo está asociado.
- Transferir: transferir el riesgo. Se valorará la subcontratación del servicio externamente o la contratación de un seguro que cubra los gastos en el caso de que ocurra una incidencia.
- Asumir: esto implica que no se van a tomar medidas de protección contra ese riesgo. La decisión ha de ser tomada y firmada por la dirección de la empresa y sólo es viable en el caso de que la organización controle el riesgo y vigile que no aumente.
- Mitigar: para ello la empresa debe implantar una serie de medidas que actúen de salvaguarda para los activos.
TODAS LAS MEDIDAS IMPLANTADAS HAN DE SER DOCUMENTADAS Y GESTIONADAS POR LA ORGANIZACIÓN.
Una vez decididas las medidas que se aplicará al riesgo identificado, se realizará un nuevo análisis, el análisis resultante expondrá el Riesgo Residual de la organización.
O también se puede encontrar:
- Evitar la situación: preguntarnos si necesitamos todo lo que tenemos.
- Mitigar el peligro: es mitigar el impacto, mitigar el riesgo o ambos. El riesgo lo mitigas con medidas preventivas.
- Pasárselo a otro: es parte de nuestras decisiones rutinarias. Hay que equilibrar riesgos y posibles beneficios.
- Aceptar lo que hay: Subcontratar un servicio con un acuerdo de niveles de servicio, es pasarle el riesgo al proveedor. Son cosas habituales que funcionan bien cuando todos ganan con el reparto.
La forma de afrontar los riesgos es una cuestión de gestión de recursos: técnicos, humanos y económicos. La decisión se toma a la vista de las consecuencias y del coste de la solución. El análisis de riesgos te califica las consecuencias y tú verás cuántos recursos pueden justificarse para la solución. Al final hay que llegar a un equilibrio.
El análisis de riesgos ha de ser tan dinámico como el mundo.