Saltar al contenido

La importancia de una metodología segura basada en un correcto análisis de riesgos. A cargo de Paula Rey Amador.

AD 5/2021

LA IMPORTANCIA DE UNA METODOLOGÍA SEGURA BASADA EN UN CORRECTO ANÁLISIS DE RIESGOS

Abstract: Actualmente la seguridad es la pieza angular de toda organización, por ello contar con una correcta metodología sobre el estudio de un correcto Análisis de Riesgos permite unificar tanto la ciberseguridad como la propia información. Por ello necesitamos estudiar constantemente los movimientos tecnológicos y los desafíos diarios, para que los mismos tengan un adecuado tratamiento y no provoquen brechas de seguridad que pongan en riesgos a la propia organización. El siguiente artículo da una serie de pautas y guía sobre algunos puntos claves para desarrollar e implementar un correcto método de seguridad. 

Palabras clave: Seguridad; Riesgos; Amenazas; Salvaguardas, Planes; Activos; Vulnerabilidades; Proceso.

Introducción:

Sobre la base de cualquier persona jurídica descansa la seguridad de la misma, hoy en día ello se conjuga con el ya conocido mundo de la protección de los datos y la ciberseguirdad de los activos sensibles dentro de la misma. Por ello, como toda seguridad, requiere de ciertos métodos para su consecución, en este ámbito se han desarrollado ciertas herramientas para logar una efectiva seguridad, la llamada seguridad de la información. 

Actualmente, la manera más común de encaminar dicha seguridad son los Planes directores de seguridad. Entendiéndose por Plan Director de Seguridad (PDS), el proyecto en materia de seguridad con el fin de identificar y mitigar los riesgos en una organización, llevado a la practica con la conjunción de ciertas herramientas.

Pero no solo por el mero hecho de contar con dichos Planes la seguridad no está completada al cien por cien, sino que hay que tener claramente identificadas las razones por las cuales se puede llegar a materializar un riesgo, y la mejor forma para asegurarse de ello es saber cómo hacerle frente.

Por lo que, a su vez, se estudian las principales consecuencias que, en el contexto de las tecnologías de la información son transcendentes para una organización, y que en períodos como el actual, son tan claves en una gran organización. Hablamos de los Planes de contingencia y Planes de continuidad de negocio que realmente responden a las necesidades de sus procesos de negocio, tanto desde el punto de vista de sus infraestructuras tecnológicas, como desde el punto de vista del acceso a sus instalaciones y la disponibilidad de las personas encargadas de llevar a cabo esos procesos.

Metodología segura:

Para detallar las razones de llevar a cabo una correcta metodología segura que mitigue todo tipo de riesgos a los que se pueda enfrentar una organización, debemos establecer como punto de partida ese Plan de Seguridad y Plan de Continuidad, ya que es requisito necesario para que las organizaciones deben identifiquen de manera prioritaria la necesidad de revisar, actualizar y probar la efectividad de la seguridad implementada.

No obstante, estos planes requieren de una herramienta concisa que desarrolle una metodología concreta sobre el análisis y gestión de riesgos, y que mejor que la metodología Magerit (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), la cual expone las diferentes fases para la consecución de una correcta valoración de la seguridad dentro de la organización.

Análisis de Riesgos:

Nos referimos a la evaluación en términos de probabilidad e impacto de amenazas sobre los activos de información, y de acuerdo con el artículo 32 y el considerando 83 del RGPD es obligatorio llevar a cabo un análisis de riesgos para este tratamiento y posteriormente implantar aquellas medidas o recomendaciones necesarias para mitigar los riesgos identificados.

  • Fase 1: Identificación de activos y su correspondiente valoración.

Se deben revisar los criterios de valoración a emplear en las distintas fases del análisis de riesgos, donde deberá evaluarse si las escalas de valoración siguen siendo adecuadas, o si por el contrario hay que añadir/eliminar/modificar alguno de sus valores. Las dimensiones a revisar serán: disponibilidad, confidencialidad, integridad, frecuencia de las amenazas, degradación de los activos, y riesgo.

Una vez revisados y actualizados los servicios dentro del alcance, se trabajará en la actualización de los activos de información que les soportan.

  • Fase 2: Identificación de amenazas.

Con el fin de ponderar los riesgos en el posterior análisis, se deberá determinar la dependencia entre los distintos servicios y activos que los soportan. Las dependencias se asignarán de manera cualitativa (alta, media, baja y N/A) y deberán representar la relación real entre el activo y el servicio.

  • Fase 3: Cálculo del Riesgo (inherente y residual).

Es un mero cálculo numérico, donde se lleva a cabo una valoración tras asignar los baremos establecidos. De este modo, para cada activo, se identifican y estudian las amenazas que les afectan, llevándose a cabo un análisis de la degradación de los activos frente a las amenazas y obtención del riesgo potencial.

Con ello vemos como el riesgo potencial representa el riesgo relativo a la amenaza sin los controles existentes, y para obtener el riesgo actual debemos exponer las salvaguardas que ya están implantadas y después valoramos el efecto mitigador de la salvaguarda sobre la amenaza. Y establecido el riesgo actual o residual, el cual representa el riesgo al que se expone la organización con las medidas de protección implantadas actualmente, se calcula si el riesgo actual excede el riesgo objetivo, y, por tanto, se requiere una salvaguarda adicional. En los casos en los que así sea, deberá plantearse una nueva salvaguarda que mitigue lo suficiente.

  • Fase 4: Plan de Tratamiento del Riesgo.

He aquí donde radica el planteamiento de una efectiva metodología segura, ya que se plasma la efectividad de las salvaguardas implementadas y tratadas, que permiten tener un conocimiento acertado sobre activos, amenazas, vulnerabilidades y criticidad además del resultado del análisis metodológico.

Conclusión:

El objetivo final del proceso es el incremento del nivel en ciberseguridad, conseguido mediante la mejora de la cultura en ciberseguridad de la organización, que en última instancia se define a partir de la conducta de cada una de las personas que forman parte de esta; por ello es recomendable contar con personas especializadas no sólo en un análisis de datos y riesgos, sino en una visión global de la seguridad.

No debemos olvidar lo esencial que pueden llegar a ser las medidas orientadas a reducir o eliminar los riesgos de una organización, ya que garantizan un nivel de seguridad adecuado a los riesgos evaluados.

La normativa en materia de seguridad, así como el RGPD apuestan por establecer de manera proactiva el desarrollo de medidas de seguridad y gestión de riesgos con una conducta diligente sobre la ciberseguridad, con el fin de evitar todo tipo de ataques.

Paula Rey Amador

18 de enero de 2021


BIBLIOGRAFÍA:       

Marco Normativo y Salvaguardas: CNN-CERT (IA 2020)

Blog INCIBE: ¡Fácil y sencillo! Análisis de riesgos en 6 pasos

NIST SP 800-37 Risk Management Framework Rev 236

MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Libro I – Método


Paula Rey Amador

Jurista y actual Consultora de la Seguridad de la Información y Protección de datos en Viewnext SA (Proyecto Telefónica, Dirección General de Seguridad Digital). Graduada en Derecho por la Universidad de Salamanca, y especializada en Derecho de las Nuevas Tecnologías gracias al Máster universitario en Derecho de las Telecomunicaciones, Protección de datos, Sector audiovisual y Sociedad de la información de la Universidad Carlos III (Madrid).

Deja un comentario

A %d blogueros les gusta esto: