an?isis de Riesgo

El an?isis de riesgo es un proceso sistem?ico para estimar la magnitud de los riesgos a que est?expuesta una organizaci? o empresa.
Es la identificaci? de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con un sistema de informaci? (activos) para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede afectar a la organizaci?.

acorde al punto 5.4 de Magerit (Espa?) es importante crear escenarios de ataque, imaginar amenazas a los activos, pensar c?o un atacante se enfrentar? a nuestros sistemas o activos.
Hay que ponerse en la piel del atacante e imaginar qu?har? con sus conocimientos y recursos. Es importante plantear diferentes situaciones dependiendo del perfil t?nico del atacante o de sus recursos t?nicos y humanos.

Estos escenarios de ataque o dramatizaciones son importantes para evaluar impactos y riesgos.

Consideraciones
Jam? olvide que en las empresas la seguridad comienza por dentro. capacitando al personal,creando normas basadas en standards, analizando brechas y puntos ciegos en la seguridad l?ica y en la seguridad de sistemas de informaci?.
Es fundamental la creaci? de escenarios de conflicto en forma continua participando la gerencia de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden lograrse medidas para evitar eventos de seguridad.

anticiparse a los hechos
Imag?ese el peor escenario posible. Piense c?o evitarlo. Existen normas, procedimientos,protocolos de seguridad existentes que pueden ayudar a crear y basar (valga la redundancia) sus procedimientos internos para alejar la posibilidad de riesgo.
Si su empresa opera a trav? de internet o telecomunicaciones no olvide que es m? probable tener una fuga de informaci? o problema interno de seguridad con su personal a que un hacker intente vulnerar sus sistemas, el fraude interno est?a la orden del d?.

Realice peri?icamente perfiles socioecon?icos de su personal, tenga entrevistas con cada uno de sus empleados con una frecuencia trimestral contando con apoyo de un profesional en psicolog? laboral con experiencia previa y capacitado en PNL (nunca est?de m? que en estas entrevistas participe un auditor en seguridad, el auditor debe ser capaz de percibir a un ?insider?.)
El siguiente glosario es un compendio de t?minos t?nicos de auditoria en seguridad que le permitir?comprender diversos informes y graficar situaciones eventuales en que su empresa podr? verse comprometida.


GLOSaRIO

ataque :
Cualquier acci? deliberada con el objetivo de violar los mecanismos de seguridad de un sistema de informaci?.

auditoria de Seguridad:
Estudio y examen independiente de registros hist?icos y actividades de un sistema de informaci? con el objetivo de comprobar la solidez de los controles del sistema, alinear los controles con la estructura de seguridad y procedimientos operativos establecidos a fin de detectar brechas en la seguridad y recomendar modificaciones en los procedimientos, controles y estructuras de seguridad.

autenticidad:
aseguramiento de la identidad u origen.

Certificaci?:
Confirmaci? del resultado de una evaluaci? y de que los criterios de la evaluaci? utilizados fueron correctamente aplicados.

Confidencialidad:
aseguramiento de que la informaci? es accesible s?o por aquellos autorizados a tener acceso.

Degradaci?:
P?dida de valor de un activo como consecuencia de la materializaci? de una amenaza .

Disponibilidad:
aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informaci? y a sus activos asociados.

Estado de riesgo:
caracterizaci? de activos por riesgo residual. ?Lo que puede pasar tomando en consideraci? que las salvaguardas han sido desplegadas?.

Evento de seguridad:
Momento en que la amenaza existe y pone en riesgo activos, procedimientos o informaci?.

Evaluaci? de Medidas de Seguridad:
Evaluaci? de las medidas de seguridad existentes con relaci? al riesgo que enfrentan.

Frecuencia:
Tasa de ocurrencia de una amenaza

Gesti? de riesgos:
Selecci? de implementaci? de medidas de seguridad para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. La gesti? de riesgos se basa en resultados obtenidos en el an?isis de riesgos.

Impacto:
Consecuencia que sobre un activo tiene la materializaci? de una amenaza.

Impacto residual:
Impacto remanente en el sistema tras la implantaci? de las medidas de seguridad determinadas en el plan de seguridad de la informaci?.

Insider:
Empleado desleal quien por motivos de desinter?, falta de capacidad intelectual y/o anal?ica,problemas psicol?icos o psiqui?ricos, corrupci?, colusi? u otros provoca da?s en forma deliberada en la empresa en que trabaja, incumpliendo concientemente con normas y procedimientos establecidos, robando o hurtando activos (f?icos o informaci?) con objetivos econ?icos o simplemente de da? deliberado.

Integridad:
Garant? de la exactitud y completitud de la informaci? y los m?odos de su procesamiento.

Mapa de riesgos:
Relaci? de las amenazas a que est? expuestos los activos.

Plan de seguridad:
Conjunto de programas de seguridad que permiten materializar las decisiones de gesti? de riesgos.

Programa de seguridad:
Conjunto de tareas orientadas a afrontar el riesgo del sistema. Esta agrupaci? se debe a que en singular las tareas carecer?n de eficacia ya que todas tienen un objetivo com? y porque competen a una ?ica unidad de acci?.
Proyecto de seguridad Programa de seguridad cuya envergadura es tal que requiere una planificaci? espec?ica.

Riesgo:
Estimaci? del grado de exposici? a que una amenaza se materialice sobre uno o m? activos causando da?s y / o perjuicios a la Organizaci?.

Riesgo acumulado:
Toma en consideraci? el valor propio de un activo y el valor de los activos que dependen de ?. Este valor se combina con la degradaci? causada por una amenaza y la frecuencia estimada de la misma.

Riesgo repercutido:
Se calcula tomando el valor propio de un activo y combin?dolo con la degradaci? causa por una amenaza y la frecuencia estimada de la misma.

Medida de seguridad:
Procedimiento o mecanismo tecnol?ico que reduce el riesgo.

Seguridad:
capacidad de las redes o de los sistemas de informaci? de resistir, con un determinado nivel de confianza, los accidentes o acciones il?itas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Sistema de informaci?:
Computadoras y redes de comunicaciones electr?icas, datos electr?icos almacenados,procesados, recuperados o transmitidos por los mismos para su operaci?, uso, protecci? y mantenimiento.
Conjunto de elementos f?icos, l?icos, elementos de comunicaci?, datos y personal que permiten el almacenamiento, transmisi? y proceso de la informaci?.

Trazabilidad:
aseguramiento de que en todo momento se podr? determinar quien hizo qu?y en qu?momento.

Valor:
De un activo: Es una estimaci? del costo inducido por la materializaci? de una amenaza.

acumulado: Considera tanto el valor propio de un activo como el valor de los activos que dependen de ?.

Vulnerabilidad:
C?culo o estimaci? de la exposici? efectiva de un activo a una amenaza. Se determina por dos medidas: frecuencia de ocurrencia y degradaci? causada.