Análisis de riesgo en seguridad: 6 fases básicas
El análisis de riesgo en seguridad es uno de los trabajos más importantes a la hora de definir proyectos e iniciativas para la mejora de la seguridad de la información.
Una amenaza se puede definir como cualquier evento que puede afectar los activos de información y se relaciona, principalmente, con recursos humanos, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser: ataques informáticos externos, infecciones con malware, una inundación, un incendio o cortes de fluido eléctrico.
Pero en ocasiones basta una omisión o despiste por parte del personal de la empresa, como el uso de una simple pulsera imantada, para que se pueda llegar a producir un daño grave, e incluso irreparable, de la información.
En definitiva, el análisis de riesgo en seguridad trata de elaborar una adecuada gestión de riesgos que permita a las organizaciones conocer cuáles son las principales vulnerabilidades de sus activos de información.
Menú de contenido
- Fases básicas de un análisis de riesgo en seguridad
- Fase 1. Definir el alcance
- Fase 2. Identificar los activos
- Fase 3. Identificar / seleccionar las amenazas
- Fase 4. Identificar vulnerabilidades y salvaguardas
- Fase 5. Evaluar el riesgo
- Fase 6. Tratar el riesgo
- Criticidad del riesgo
- 1. Riesgo aceptable
- 2. Riesgo residual
- Conclusión
Fases básicas de un análisis de riesgo en seguridad
El análisis de riesgo en seguridad permite proponer acciones de prevención y de protección con inversiones idóneas en medidas de seguridad.
Hoy en día, el análisis de riesgo en seguridad privada se utiliza para casi todo, sobre todo porque es un formato de evaluación que permite establecer un umbral de riesgo y su impacto sobre el negocio o sobre una vivienda.
A continuación, veremos de forma sencilla las principales tareas del análisis de riesgos, aportando recomendaciones prácticas sobre cómo llevarlo a cabo. Cabe señalar que las fases o etapas que componen un análisis de riesgos dependen de la metodología escogida.
Fase 1. Definir el alcance
El primer paso a la hora de llevar a cabo el análisis de riesgo en seguridad, es establecer el alcance del estudio. Es posible definir un alcance más limitado atendiendo a departamentos, procesos o sistemas. Por ejemplo, análisis de riesgos sobre los procesos del departamento Administración, análisis de riesgos sobre los procesos de producción y gestión de almacén o análisis de riesgos sobre los sistemas TIC relacionados con la página web de la empresa, etc.
Fase 2. Identificar los activos
Una vez definido el alcance en el análisis de riesgo en seguridad, debemos identificar los activos más importantes que guardan relación con el departamento, proceso, o sistema objeto del estudio. Para mantener un inventario de activos sencillo puede ser suficiente con hacer uso de una hoja de cálculo o tabla.
Fase 3. Identificar / seleccionar las amenazas
Habiendo identificado los principales activos, el siguiente paso consiste en identificar las amenazas a las que estos están expuestos. Tal y como imaginamos, el conjunto de amenazas es amplio y diverso por lo que debemos hacer un esfuerzo en mantener un enfoque práctico y aplicado. Por ejemplo, si nuestra intención es evaluar el riesgo que corremos frente a la destrucción de nuestro servidor de ficheros, es conveniente considerar las averías del servidor, la posibilidad de daños por agua (rotura de una cañería) o los daños por fuego.
Fase 4. Identificar vulnerabilidades y salvaguardas
La siguiente fase de un análisis de riesgo en seguridad consiste en estudiar las características de nuestros activos para identificar puntos débiles o vulnerabilidades. Por ejemplo, una posible vulnerabilidad puede ser identificar un conjunto de ordenadores o servidores cuyos sistemas antivirus no están actualizados o una serie de activos para los que no existe soporte ni mantenimiento por parte del fabricante. Posteriormente, a la hora de evaluar el riesgo aplicaremos penalizaciones para reflejar las vulnerabilidades identificadas.
Por otra parte, también analizaremos y documentaremos las medidas de seguridad implantadas en nuestra organización.
Estas consideraciones (vulnerabilidades y salvaguardas) debemos tenerlas en cuenta cuando vayamos a estimar la probabilidad y el impacto, como veremos en la siguiente fase del análisis de riesgo en seguridad.
Fase 5. Evaluar el riesgo
Llegado a este punto del análisis de riesgo en seguridad, disponemos de los siguientes elementos:
- Inventario de activos.
- Conjunto de amenazas a las que está expuesta cada activo.
- Conjunto de vulnerabilidades asociadas a cada activo (si corresponde).
- Conjunto de medidas de seguridad implantadas.
Con esta información, nos encontramos en condiciones de calcular el riesgo. Para cada par activo-amenaza, estimaremos la probabilidad de que la amenaza se materialice y el impacto sobre el negocio que esto produciría. El cálculo de riesgo se puede realizar usando tanto criterios cuantitativos como cualitativos.
Fase 6. Tratar el riesgo
Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen un límite que nosotros mismos hayamos establecido. Por ejemplo, trataremos aquellos riesgos cuyo valor sea superior a “4” o superior a “Medio” en caso de que hayamos hecho el cálculo en términos cualitativos. A la hora de tratar el riesgo, existen cuatro estrategias principales:
- Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que cubra los daños a terceros ocasionados por fugas de información.
- Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está sujeto a un riesgo elevado. En el caso práctico que hemos expuesto, podríamos eliminar la wifi de cortesía para dar servicio a los clientes si no es estrictamente necesario.
- Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar un grupo electrógeno puede ser demasiado alto y, por tanto, la organización puede optar por asumir.
- Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a internet de respaldo para poder acceder a los servicios en la nube en caso de que la línea principal haya caído.
Criticidad del riesgo
Además de lo expuesto anteriormente, en el análisis de riesgo en seguridad se deben evaluar las consecuencias potenciales para poder evaluar su criticidad: riesgo aceptable y riesgo residual.
1. Riesgo aceptable
No se trata de eliminar totalmente el riesgo, ya que muchas veces no es posible ni tampoco resultaría rentable, sino de reducir su posibilidad de ocurrencia y minimizar las consecuencias a unos niveles que la organización pueda asumir, sin que suponga un perjuicio demasiado grave a todos los niveles: económico, logístico, de imagen, de credibilidad, etc.
2. Riesgo residual
Se trata del riesgo que permanece y subsiste después de haber implementado los debidos controles, es decir, una vez que la organización haya desarrollado completamente un SGSI. Es un reflejo de las posibilidades de que ocurra un incidente, pese a verse implantado con eficacia las medidas evaluadoras y correctoras para mitigar el riesgo inherente.
Conclusión
Llevar a cabo un análisis de riesgo en seguridad nos proporciona información de gran valor y contribuye en gran medida a mejorar la seguridad de nuestra organización. Dada esta situación, animamos a nuestros lectores a siempre optar por dejar dicho análisis en manos de profesionales, para garantizar la obtención de los mejores resultados posibles.
NOVASEP le trae distintos tipos de soluciones a través de herramientas y sistemas de seguridad integrales. Vigilancia humana, análisis de riesgos, seguridad electrónica, vigilancia humana móvil, investigación y capacitación. Su protección está en nuestras manos. Contáctanos y reciba más información sobre seguridad física en Colombia.
