1. Libros y videos
  2. Seguridad informática
  3. Análisis de riesgos
Extrait - Seguridad informática Ethical Hacking : Conocer el ataque para una mejor defensa (6ª edición)
Extractos del libro
Seguridad informática Ethical Hacking : Conocer el ataque para una mejor defensa (6ª edición) Volver a la página de compra del libro

Análisis de riesgos

Introducción al concepto de riesgo

En este capítulo, discutiremos la noción de riesgos en los sistemas de información. Esta idea se remonta mucho antes de la revolución industrial. Los humanos siempre se han enfrentado a riesgos. El principio que se aplica generalmente, a menudo de forma inconsciente, es evaluar los riesgos frente a los beneficios esperados. Esta idea está omnipresente en nuestra mente. Por ejemplo, en la carretera, ¿puedo adelantar este coche con un riesgo aceptable para ahorrar tiempo en mi trayecto? Hay muchos ejemplos de la misma naturaleza. En la vida cotidiana, la evaluación de riesgos se suele basar en la subjetividad, la experiencia y la intuición. Esta valoración, por supuesto, no es aplicable en un contexto profesional, aunque estos conceptos siguen presentes.

Si es gerente de una empresa, director general, RSSI (Responsable de Seguridad de Sistemas de Información) o jefe de proyecto, se enfrenta regularmente a la evaluación de riesgos. Cada sector de actividad tiene sus propios métodos para evaluar el riesgo. Por ejemplo, en la gestión de proyectos, define con precisión los elementos de su proyecto con un QQDCCP (¿Quién?, ¿Qué?, ¿dónde?, ¿Cuándo?, ¿cómo?, ¿Por qué?) y luego evalúan el riesgo con un FDOA...

¿Por qué hacer un análisis de riesgos?

Existen muchas razones por las que se puede realizar un análisis de riesgos. A continuación, se presentan algunos de los objetivos habitualmente perseguidos por los métodos de análisis de riesgos:

  • Implementar o fortalecer un proceso de gestión digital de riesgos dentro de una organización. 

  • Evaluar y abordar los riesgos asociados a un proyecto digital, en particular con vistas a la certificación de seguridad.

  • Definir el nivel de seguridad que se debe alcanzar para un producto o servicio según sus casos de uso previstos y los riesgos a contrarrestar, con vistas a la certificación o aprobación, por ejemplo.

  • Ayudar a la organización a tomar decisiones sobre la gestión de riesgos que afectan al logro de sus objetivos.

  • Ayudar a la organización a centrarse en los riesgos que puedan poner en peligro el logro de sus objetivos.

  • Proporcionar a los responsables de la toma de decisiones información relevante sobre la probabilidad de que ocurra una amenaza y el nivel de pérdidas asociadas.

  • Identificar el soporte de seguridad adaptada al objeto del estudio.

  • Evaluar el nivel de amenaza del ecosistema para el objeto del estudio.

  • Identificar y analizar escenarios de alto nivel, integrando el ecosistema.

  • Realizar un estudio preliminar de riesgos para identificar áreas prioritarias de mejora en la seguridad.

  • Apoyar...

¿Cómo hacer un análisis de riesgos?

1. ¿Qué dicen los estándares, textos de referencia y la ley?

Una norma es un documento que define requisitos, especificaciones, directrices o características que se deben utilizar de forma sistemática para garantizar la idoneidad para el uso de materiales, productos, procesos y servicios.

Empecemos presentando las organizaciones de referencia en términos de estándares:

  • La ISO (International Organization for Standardization/Organización Internacional de Normalización) ha publicado más de 19.000 normas internacionales que se pueden adquirir a través de la ISO o de sus miembros.

  • La IEC, la Comisión Electrotécnica Internacional (IEC) o International Electrotechnical Commission (IEC) en inglés, es la organización internacional de normalización responsable de las áreas de la electricidad, electrónica, compatibilidad electromagnética, nanotecnología y técnicas relacionadas. Es complementario a la Organización Internacional de Normalización (ISO), que es responsable de otras áreas.

Por esta razón, un gran número de normas de estas dos organizaciones llevan la designación ISO/IEC xxxxx. Especialmente en el campo de la informática y la electrónica. Sin embargo, en la mayoría de los casos, prevalece el uso del término "ISO" para simplificar, con la excepción de documentos oficiales donde se requiere la terminología exacta.

En cuanto a gestión de riesgos, la primera norma es la ISO 31000:2018: Gestión de riesgos - Principios y directrices. Es generalista y trata la gestión de riesgos sin centrarse en un sector específico de actividad. Este estándar indica qué hacer y los aspectos principales a aplicar, sin explicar cómo. Permite establecer el vocabulario adecuado y definir los procesos que se deben implementar.

La siguiente norma que se debe consultarse es ISO/IEC 31010:2009: Gestión de riesgos - Técnicas de evaluación de riesgos. Aquí se detalla más la evaluación de riesgos y las acciones que se deben tomar para realizarla. Sigue siendo, al igual que la anterior, generalista sin centrarse en un sector de actividad concreto.

Veamos ahora el tema que nos interesa aquí...

Implementación del método EBIOS RM

1. Las ventajas del método EBIOS RM

El método EBIOS RM tiene muchas ventajas para las organizaciones que desean estructurar su gestión digital de riesgos:

Un enfoque estratégico y operativo:

  • Visión global: EBIOS RM combina un enfoque estratégico y operativo, alineando la gestión de riesgos con los objetivos generales de la organización.

  • Flexibilidad: el método se adapta a diferentes contextos empresariales y entornos regulatorios, independientemente del tamaño o del sector de la organización.

Una metodología estructurada y colaborativa:

  • Proceso de cinco talleres: la estructura de cinco talleres permite un análisis paso a paso y en profundidad de los riesgos.

  • Enfoque colaborativo: EBIOS RM fomenta la participación de diferentes actores (líneas de negocio, técnicas, directivos) para una visión compartida de los riesgos.

Cumple con los siguientes estándares y normas:

  • Alineación con las normas: el método es compatible con normas internacionales como la ISO 27005 y cumple con los requisitos de la ISO 27001.

  • Cumplimiento normativo: EBIOS RM ayuda a cumplir con los requisitos legales, especialmente en materia de protección de datos personales (RGPD) y otros estándares de seguridad de la información.

Se basa en un enfoque personalizado y escalable:

  • Análisis detallado del ecosistema: el método tiene en cuenta socios, proveedores y clientes para identificar amenazas y mapear vulnerabilidades estructurales.

  • Combinación de enfoques: EBIOS RM combina un enfoque de cumplimiento para riesgos genéricos y un enfoque basado en escenarios para riesgos específicos y concretos.

Implementa la mejora continua:

  • Proceso iterativo: el método fomenta la evolución constante de la postura de seguridad de la empresa, en línea con sus valores empresariales.

  • Anticipación de amenazas: EBIOS RM permite considerar los riesgos de forma proactiva, antes de que se materialicen.

Estos beneficios convierten a EBIOS RM en un método preferido para las organizaciones que buscan implementar una gestión digital eficaz de riesgos, adaptada a sus necesidades específicas y alineada con las mejores prácticas del sector.

2. Presentación del método

Antes de que apareciera el método EBIOS...

Conclusión y análisis crítico

Como hemos visto, realizar un análisis de riesgos de su sistema de información y ecosistema no es sencillo, pero tampoco imposible. Lo importante es embarcarse en un análisis inicial y, quizás, estar acompañado por especialistas en el campo al principio.

La experiencia demuestra que el lanzamiento de un proyecto así plantea muchas preguntas y a veces pone de manifiesto debilidades inimaginables. El taller 1 ya requiere la definición de una base de seguridad que a menudo falta en los TPE/PME. Por supuesto, la madurez cibernética de la entidad estudiada condicionará fuertemente la calidad del análisis.

El consejo a recordar es que no dude en lanzarse, aunque el primer análisis sea muy imperfecto. Permite la implementación de procedimientos y comités para iniciar un proceso de mejora continua. Lo peor que podemos hacer es no hacer nada.