Preparación del análisis de riesgos
La preparación de un análisis de riesgo consiste en:
- Detectar los incidentes
- Analizar el incidente
- Métodos Reactivos
Detectar el incidente: cuando realizamos la auditoría la pregunta estándar a realizar es: muéstreme los incidentes más significativos. Cuando localizamos el incidente por ejemplo fuga de información, es cuando debemos analizarlo.
Analizar el incidente: definición del problema a través del qué, cómo, cuándo, dónde, quién o quiénes y por qué?
Métodos Reactivos: revisión/replanteo, segmentar. Es el proceso inverso a la implementación del SGSI. Ejemplo:Políticas
1) Verificar las tareas que afectan, afectaron el incidente.
2) Los procesos a través del cual el incidente paso.
3) Manual de Seguridad: cómo se permitió que el incidente ocurriera.
4) Política de Uso o Medio: que falto implementar para que la política de uso no tuviera resultado.
5) Políticas de Seguridad: el incidente afectó todo el sistema de seguridad, por qué, dónde fallo, qué fallo, etc. Revisión y replanteamiento de la política.
Para realizar un análisis de riesgos se parte del inventario de activos. Si es razonablemente reducido, puede decidirse hacer el análisis sobre todos los activos que contiene. Si el inventario es extenso, es recomendable escoger un grupo relevante y manejable de activos, bien los que tengan más valor, los que se consideren estratégicos o todos aquellos que se considere que se pueden analizar con los recursos disponibles. Se puede tomar cualquier criterio que se estime oportuno para poder abordar el análisis de riesgos en la confianza de que los resultados van a ser útiles.
Hay que tener en cuenta que la realización de un análisis de riesgos es un proceso laborioso. Para cada activo se van a valorar todas las amenazas que pueden afectarle, la vulnerabilidad cada una delas amenaza y el impacto que causaría la amenaza en caso de ocurrir. Con todos esos datos, se calcula el valor del riesgo para ese activo. Independientemente de la metodología que se utilice, el análisis de riesgos debe ser objetivo y conseguir resultados repetibles en la medida de lo posible, por lo que deberían participar en él todas las áreas de la organización que estén dentro del alcance del SGSI. De esta manera quedarán plasmados varios puntos de vista y la subjetividad, que es inevitable, quedará reducida. Además contar con la colaboración de varias personas ayuda a promover el desarrollo del SGSI como una herramienta útil para toda la organización y no sólo para la dirección o el área que se encarga del proyecto. Se puede abordar el análisis de riesgos con varios enfoques dependiendo del grado de profundidad con el que se quiera o pueda realizar el análisis:
Enfoque de Mínimos:
Se escoge un conjunto mínimo de activos y se hace un análisis conjunto, de manera que se emplean una cantidad mínima de recursos, consumiendo poco tiempo y por lo tanto tiene el coste es menor. Este enfoque tienen el inconveniente de que si se escoge un nivel básico de seguridad muy alto, puede requerir recursos excesivos al implantarlo para todos los activos y por el contrario, si es muy bajo, los activos con más riesgos pueden no quedar adecuadamente protegidos. Debido a la falta de detalle en el análisis, puede ser difícil actualizar los controles o añadir otros según vayan cambiando los activos y sistemas.
Enfoque informal:
Con este enfoque, no se necesita formación especial para realizarlo ni necesita de tantos recursos de tiempo y personal como el análisis detallado. Las desventajas de este informe son que al no estar basado en métodos estructurados, puede suceder que se pasen por altos áreas de riesgos o amenazas importantes y al depender delas personas que lo realizan, el análisis puede resultar con cierto grado de subjetividad. Si no se argumenta bien la selección de controles, puede ser difícil justificar después el gasto en su implantación.
Enfoque detallado:
Con este enfoque se consigue una idea muy exacta y objetiva de los riesgos a los que se enfrenta la organización. Se puede decidir un nivel de seguridad apropiado para cada activo y de esa manera escoger los controles con precisión. Es el enfoque que más recursos necesita en tiempo, personal y dinero para llevarlo a cabo de una manera efectiva.
Enfoque combinado:
Con un enfoque de alto nivel al principio, permite determinar cuáles son los activos en los que habrá que invertir más antes de utilizar muchos recursos en el análisis. Por ello ahorra recursos al tratar antes y de manera más exhaustiva los riesgos más importantes mientras que al resto de los riesgos sólo se les aplica un nivel básico de seguridad, con lo que consigue un nivel de seguridad razonable en la organización con recursos ajustados. Es el enfoque más eficaz en cuanto a costes y a adaptabilidad a empresas con recursos limitados. Hay que tener en cuenta que si el análisis de alto nivel es erróneo puede que queden algunos activos críticos a los que no se realice un análisis detallado.