Titulo:
ANÁLISIS DE RIESGO PRÁCTICO EN TECNOLOGÍAS DE INFORMACIÓN.
Resumen:
El concepto de riesgo está presente en la totalidad de las actividades que realiza el ser humano, por lo que antes de implementar cualquier mecanismo de seguridad (software, hardware, política, etc.) en las Tecnologías de la Información, es necesario conocer la prioridad de aplicación y que tipi de medida puedo aplicar. El análisis de riesgos es el primer paso de la seguridad informática.
Un riesgo es un evento, el cual es incierto y tiene un impacto negativo. Análisis de riesgo es el proceso cuantitativo o cualitativo que permite evaluar los riesgos. Las metodologías de análisis de riesgos existentes describen sus etapas en forma teórica, se presentan pocos ejemplos o es necesario una herramienta para realizarlo, cuyo costo normalmente es elevado. Por lo anterior es necesario establecer una metodología cualitativa práctica para realizar un análisis de riesgos a la áreas de TI, estableciendo el cómo puede ejecutarse el análisis.
Esta descripción practica de un análisis de riesgos cuenta con una base teórica, tomando como base tres metodologías reconocidas, la publicada por el NIST en su docuemento SP 800-30, la metodología FRAAP (Facilitated Risk Analysis and Assessment Process) y MAGERIT de España.
Las etapas de esta metodología y una breve descripción de cada una, se describe a continuación:
1. Declaración del alcance.
En esta primera fase se define el motivo para la realización del análisis, la definición del o los procesos a evaluar.
2. Establecimiento del Equipo.
Definir el personal necesario que participara en el análisis.
3. Entrevistas.
Fase que permite conocer el proceso desde el punto de vista de los dueños y usuarios de la información. Las herramientas pueden ser desde una lluvia de ideas hasta cuestionarios.
4. Identificación de procesos.
Como actividades principales se encuentran la elaboración del árbol de procesos a través de un Modelo Visual, para definir dependencias entre procesos y activos.
5. Identificación de activos.
Derivado del proceso a evaluar se determinan los activos principales.
6. Valoración de procesos y activos (impacto).
El modelo visual determina que proceso, subproceso o activos son determinantes para la ejecución continua del proceso.
7. Identificación amenazas.
8. De acuerdo a cada organización, lugar geográfico y listas previamente elaboradas se deben definir las amenazas que pueden afectar nuestros activos.
9. Priorizar amenazas.
La frecuencia de algunas amenazas están establecidas a través de una formula sencilla en algunas tablas.
10. Determinar riesgo.
La relación entre amenaza-frecuencia- activo-impacto, es la condición principal a tomar en cuenta para determinar el riesgo.
11. Priorización de riesgos.
Las tablas de resultados nos permiten determinar cuales son nuestras prioridades.
12. Determinación de controles.
Existen controles determinados por estándares y metodologías una lista común puede ser de ayuda. El informe final debe determinar el control que se va a aplicar al activo de un proceso por un riesgo determinado.
lunes, 29 de septiembre de 2008
Suscribirse a:
Entradas (Atom)