La seguridad en los sistemas de información-II

por | 20 Ago 2018

“El único sistema seguro es aquél que está apagado en el interior de un bloque de hormigón protegido en una habitación sellada rodeada por guardias armados”

Gene Spafford

Al igual que el experto en seguridad Gene Spafford en el artículo anterior La seguridad en los sistemas de información (I) llegamos a la conclusión de que la seguridad total no existe.

Cualquier Empresa, independientemente de su tamaño, maneja información sensible. Implantar un Sistema de Gestión de Seguridad de la Información se convierte en algo necesario para garantizar la integridad y confidencialidad de esta información.

El primer paso a seguir para la implantación de un adecuado Sistema de Gestión de la Seguridad de la Información será la identificación de los riesgos a que nos enfrentamos.

Un adecuado análisis de los riesgos nos permitirá identificar las vulnerabilidades a que estamos expuestos y tomar las medidas preventivas necesarias.

Análisis de los riesgos de seguridad

Existen multitud de métodos para la realización de un análisis de riesgos de seguridad. No obstante, todos ellos acaban siguiendo unas pautas comunes:

  1. Alcance del análisis

El primer paso del análisis de seguridad es determinar su alcance. Por ejemplo, puede ser un departamento, varios o el total de la Compañía.

También es conveniente realizar una valoración de la información que pretendemos proteger dependiendo del grado de confidencialidad y del impacto que provocaría su perdida.

  1. Identificación de Activos de Seguridad

Entenderemos como activo de seguridad cualquiera de los elementos que intervengan en el almacenamiento y tratamiento de la información. No se trata solo de los medios electrónicos, también documentos, instalaciones e incluso personas.

Realizaremos un inventario de todos ellos, basta con una simple relación en la que se indique la descripción del activo y la información con la que se relaciona.

  1. Análisis de vulnerabilidades y amenazas

En primer lugar, identificaremos las amenazas a que cada uno de los activos de seguridad está expuesto. Borrado de información, posibilidades de incendio, robo, etc. A continuación, estudiaremos cada uno de los activos de seguridad para identificar sus puntos débiles.

También analizaremos y documentaremos las medidas de seguridad ya implantadas en la organización.

  1. Evaluación del riesgo

Calcularemos el riesgo para cada uno de los activos/amenaza identificados en los puntos anteriores y el impacto que provocaría. El cálculo del riesgo puede realizarse tanto usando criterios cuantitativos (1, 2, 3, etc.) como cualitativos (bajo, medio alto, etc.).

RIESGO = PROVABILIDAD X IMPACTO

Tratamiento de los riesgos de seguridad

Una vez realizado el análisis y valoración de riesgos de seguridad llega el momento de abordar el tratamiento de esos riesgos.

Existen diferentes estrategias para tratar los riesgos de seguridad:

  • Eliminar el riesgo: Eliminar la causa que provoca el riesgo, por ejemplo, eliminar la información.
  • Implantar las medidas de seguridad necesarias para paliar el riesgo o que este desaparezca.
  • Transferir el riesgo a un tercero: Por ejemplo, contratar un seguro que cubra los daños.
  • Asumir el riesgo: Justificadamente en el caso de que el riesgo sea suficientemente bajo, o la solución tenga un costo muy elevado, etc.

Una vez finalizada la valoración de riesgos de seguridad y tomadas las medidas necesarias, es conveniente realizar periódicamente un seguimiento de los riesgos, pues estos pueden cambiar con el tiempo.

También periódicamente se debe realizar un chequeo comprobando el cumplimiento y la efectividad de las medidas implantadas.

Una buena recomendación es la implantación, de obligado cumplimiento, de una adecuada política de seguridad. En el próximo artículo os daremos una serie de medidas que podéis incluir en vuestra política de seguridad.

Hasta pronto.

Pin It on Pinterest