Analisis de riesgo - Libros
Páginas: 9 (2012 palabras)
Publicado: 5 de enero de 2014
INTRODUCCION
La seguridad informática puede ser definida, básicamente, como la reservación de la confidencialidad, la integridad y la disponibilidad de los sistemas de información. Dependiendo del entorno de la organización, se pueden tener diferentes amenazas que comprometan a los objetivos previamente mencionados. Ante un riesgo concreto, la organización tiene tres alternativas:aceptar el riesgo, hacer algo para disminuir la posibilidad de ocurrencia del riesgo o transferir el riesgo, por ejemplo, mediante un contrato de seguro. A las medidas o salvaguardas que se toman para disminuir un riesgo se les denomina controles de seguridad.
Los controles de seguridad informática usualmente se clasifican en tres categorías: controles físicos, controles lógicos o técnicos ycontroles administrativos.
Análisis de Riesgo
Para que los controles sean efectivos, éstos deben estar integrados en lo que se denomina una arquitectura de seguridad informática [Tudor, 2006], la cual debe ser congruente con los objetivos de la organización y las prioridades de las posibles amenazas de acuerdo al impacto que éstas tengan en la organización. Por lo tanto,una fase fundamental en el diseño de la arquitectura
de seguridad informática es la etapa de análisis de riesgos [Peltier, 2005;
Landoll, 2005].
Sin importar cuál sea el proceso que se siga, el análisis de riesgos comprende los siguientes pasos [Peltier, 2005]:
1. Definir los activos informáticos a analizar.
2. Identificar las amenazas que pueden comprometer la seguridad de losactivos.
3. Determinar la probabilidad de ocurrencia de las amenazas.
4. Determinar el impacto de las amenaza, con el objeto de establecer una
priorización de las mismas.
5. Recomendar controles que disminuyan la probabilidad de los riesgos.
6. Documentar el proceso.
Las metodologías de análisis de riesgo difieren esencialmente en la manera de estimar la probabilidad de ocurrencia deuna amenaza y en la forma de determinar el impacto en la organización. Las metodologías más utilizadas son cualitativas, en el sentido de que dan una caracterización de “alta/media/baja” a la posibilidad de contingencia más que una probabilidad específica. El estándar
ISO/IEC 27001 adopta una metodología de análisis de riesgos cualitativa
[Calder, 2007]. El ISO/IEC 27001 es un estándarinternacional para los sistemas de gestión de la seguridad informática, que está estrechamente relacionado al estándar de controles recomendados de seguridad informática
ISO/IEC 17799 [Calder, 2003]. El estándar NIST 800-39 del gobierno americano también adopta una metodología cualitativa [NIST, 2002].
La dificultad de adoptar una metodología de análisis de riesgo cuantitativa es la complejidad dedeterminar el impacto de un evento no deseado [Anderson,
2001] y, principalmente, la falta de datos suficiente para poder determinar de manera exacta las funciones de distribución de probabilidad para las amenazas más comunes [Kotulic, 2003; Ciechanowicz, 1997]. Por otro lado, en las metodologías cualitativas, la estimación de probabilidades dependerá de la experiencia de quienes realizan elanálisis.
Además de estas limitaciones en el enfoque actual de análisis de riesgos, existen otras de mayor alcance que exploraremos en la siguiente sección.
Limitantes del análisis de riesgo
En general, a pesar de que se han desarrollado muchas soluciones a los problemas de la seguridad en los sistemas de información, la apreciación general es que la inseguridad es un problema que no ha sidoresuelto [Viega,
2005]. La perspectiva parece poco optimista, principalmente debido a que los atacantes han pasado de ser aficionados en busca de notoriedad a criminales en busca de lucro [Schneier, 2005].
Posiblemente una de las principales razones por las cuales los problemas de seguridad informática no han sido resueltos es la aparición frecuente de nuevas amenazas. Como un ejemplo de...
La seguridad informática puede ser definida, básicamente, como la reservación de la confidencialidad, la integridad y la disponibilidad de los sistemas de información. Dependiendo del entorno de la organización, se pueden tener diferentes amenazas que comprometan a los objetivos previamente mencionados. Ante un riesgo concreto, la organización tiene tres alternativas:aceptar el riesgo, hacer algo para disminuir la posibilidad de ocurrencia del riesgo o transferir el riesgo, por ejemplo, mediante un contrato de seguro. A las medidas o salvaguardas que se toman para disminuir un riesgo se les denomina controles de seguridad.
Los controles de seguridad informática usualmente se clasifican en tres categorías: controles físicos, controles lógicos o técnicos ycontroles administrativos.
Análisis de Riesgo
Para que los controles sean efectivos, éstos deben estar integrados en lo que se denomina una arquitectura de seguridad informática [Tudor, 2006], la cual debe ser congruente con los objetivos de la organización y las prioridades de las posibles amenazas de acuerdo al impacto que éstas tengan en la organización. Por lo tanto,una fase fundamental en el diseño de la arquitectura
de seguridad informática es la etapa de análisis de riesgos [Peltier, 2005;
Landoll, 2005].
Sin importar cuál sea el proceso que se siga, el análisis de riesgos comprende los siguientes pasos [Peltier, 2005]:
1. Definir los activos informáticos a analizar.
2. Identificar las amenazas que pueden comprometer la seguridad de losactivos.
3. Determinar la probabilidad de ocurrencia de las amenazas.
4. Determinar el impacto de las amenaza, con el objeto de establecer una
priorización de las mismas.
5. Recomendar controles que disminuyan la probabilidad de los riesgos.
6. Documentar el proceso.
Las metodologías de análisis de riesgo difieren esencialmente en la manera de estimar la probabilidad de ocurrencia deuna amenaza y en la forma de determinar el impacto en la organización. Las metodologías más utilizadas son cualitativas, en el sentido de que dan una caracterización de “alta/media/baja” a la posibilidad de contingencia más que una probabilidad específica. El estándar
ISO/IEC 27001 adopta una metodología de análisis de riesgos cualitativa
[Calder, 2007]. El ISO/IEC 27001 es un estándarinternacional para los sistemas de gestión de la seguridad informática, que está estrechamente relacionado al estándar de controles recomendados de seguridad informática
ISO/IEC 17799 [Calder, 2003]. El estándar NIST 800-39 del gobierno americano también adopta una metodología cualitativa [NIST, 2002].
La dificultad de adoptar una metodología de análisis de riesgo cuantitativa es la complejidad dedeterminar el impacto de un evento no deseado [Anderson,
2001] y, principalmente, la falta de datos suficiente para poder determinar de manera exacta las funciones de distribución de probabilidad para las amenazas más comunes [Kotulic, 2003; Ciechanowicz, 1997]. Por otro lado, en las metodologías cualitativas, la estimación de probabilidades dependerá de la experiencia de quienes realizan elanálisis.
Además de estas limitaciones en el enfoque actual de análisis de riesgos, existen otras de mayor alcance que exploraremos en la siguiente sección.
Limitantes del análisis de riesgo
En general, a pesar de que se han desarrollado muchas soluciones a los problemas de la seguridad en los sistemas de información, la apreciación general es que la inseguridad es un problema que no ha sidoresuelto [Viega,
2005]. La perspectiva parece poco optimista, principalmente debido a que los atacantes han pasado de ser aficionados en busca de notoriedad a criminales en busca de lucro [Schneier, 2005].
Posiblemente una de las principales razones por las cuales los problemas de seguridad informática no han sido resueltos es la aparición frecuente de nuevas amenazas. Como un ejemplo de...
Leer documento completo
Regístrate para leer el documento completo.