Introducción

La gestión de la seguridad de la información requiere que los medios técnicos estén apoyados en una gestión y unos procesos adecuados.

Para poder aplicar cualquier Sistema de Gestión de Seguridad se deberán establecer, en primer lugar, los requisitos de seguridad, obtenidos a partir de tres fuentes principales:

  • La identificación de los requisitos de seguridad de Ia información que realice la propia organización, que comprenderá Ia identificación de amenazas a sus activos, la evaluación de Ia vulnerabilidad y probabilidad de su ocurrencia y realizar estimaciones de su impacto en los diferentes ámbitos de la organización.
  • El compendio de requisitos legales, estatutarios y regulatorios que deberá satisfacer la organización con sus socios comerciales, los contratistas, los proveedores de servicios y los terceros interesados, en general.
  • Por último, el marco común constituido por los principios, políticas, objetivos y requisitos que haya adoptado, con carácter interno, la organización, para el tratamiento de la información en el desarrollo de sus operaciones.

Los requisitos de seguridad se identifican mediante una evaluación periódica de los riesgos, manteniendo un equilibrio entre los costes generados por Ia implantación de controles de seguridad con el impacto económico de posibles fallos en dicha seguridad.

Estas técnicas de diagnóstico se podrán aplicar en la organización en su conducta, como un todo, o bien circunscribirse a partes o, incluso, sistemas individualizados de ella, siempre y cuando esto resulte factible, realista y, sobre todo, útil.

Los dos factores fundamentales para la evaluación del riesgo son:

  • La determinación del impacto económico que resulte probable por un fallo de seguridad teniendo en cuenta las posibles consecuencias en los parámetros mencionados de confidencialidad, integridad y disponibilidad.
  • El estudio probabilístico realista de que estos sucesos ocurran en virtud de las amenazas previstas y los controles implantados.

El resultado de esta evaluación permitirá discernir un escenario ajustado de Ia realidad en seguridad de la organización y permitirá desarrollar una prelación de riesgos y acciones para su gestión, así como la implantación de controles adecuados para la protección frente a dichos riesgos. El proceso debe ser concebido como un sistema dinámico que permita la revisión periódica del mismo y el establecimiento de evaluaciones sobre aspectos más concretos para enfocar riesgos más específicos.

Los controles deben permitir la reducción de los riesgos a unos umbrales de tolerancia conforme a los requisitos de seguridad identificados.

Análisis de riesgos

El aspecto fundamental y más complejo para la implantación de un Sistema de Gestión de la seguridad es la elaboración de un análisis de riesgos especifico, acorde con los requisitos y el estado de la tecnología, que nos permita identificar las amenazas, priorizar acciones y establecer controles para garantizar un nivel de seguridad adecuado a las necesidades de cada organización.

La determinación de los controles de seguridad apropiados, maximizando Ia eficacia de sus costes, es a menudo compleja y tratada como hechos subjetivos, de manera que la premisa inicial será dotar a este proceso de selección de unas bases lo más objetivas posible.

Existen numerosos sistemas para aproximarse al análisis de riesgos, sin embargo, todos ellos se pueden englobar en dos grandes raíces: el análisis cuantitativo y el cualitativo.

Análisis Cuantitativo

Requiere únicamente el empleo de las dos premisas fundamentales: la probabilidad de que cierto suceso ocurra y los costes estimados que conllevará. Este análisis, denominado expectativa anual de pérdidas o coste anual estimado (CAE), se obtiene mediante la simple multiplicación de sus elementos fundamentales, de manera que se nos posibilita para realizar una prelación de hechos según el parámetro CAE asociado al riesgo, para adoptar las medidas oportunas sobre esta relación ordenada.

El mayor problema que presentan estos estudios se asocia a la falta de fiabilidad o incorrección de los datos manejados para su elaboración, ya que las posibilidades rara vez son absolutamente precisas, y además, los controles y medidas de corrección pueden ofrecer información diferenciada de varios elementos que, a su vez, pueden tener una relación entre sí, situación que no siempre se contempla.

Pese a estos inconvenientes, el análisis cuantitativo ha sido adoptado con éxito por numerosas organizaciones.

Análisis Cualitativo

Es, con diferencia, el enfoque de análisis de riesgos más frecuentemente adoptado por las organizaciones de todo el mundo, basando su metodología en el estudio de tres elementos interrelacionados:

  • Amenazas. Todo aquel proceso lesivo que implique mal funcionamiento del sistema o ataque al mismo, donde se engloban, entre otros, los actos delictivos y los desastres naturales. Debemos tener presente en todo momento que siempre existen amenazas en cualquier sistema.
  • Vulnerabilidades. EI estudio de los puntos más vulnerables del sistema debe ser adecuado pues son los elementos sobre los que una amenaza tiene más capacidad para generar daños al sistema y a la organización. Debemos detectar los eslabones débiles en relación con las amenazas que hayamos establecido.
  • Controles. Son acciones tomadas para evaluar y evitar la vulnerabilidad del sistema a través de sus puntos débiles. Estos controles podrán obedecer a alguna de las cuatro naturalezas siguientes:
  • DISUASORIA: orientados a dificultar los ataques antes de su comisión.
  • PREVENTIVA: protegen los puntos débiles impidiendo el éxito del ataque o reduciendo su impacto.
  • CORRECTIVA: corrigen el efecto de la vulneración y tratan de neutralizar su causa.
  • DE INVESTIGACIÓN: mediante el estudio del entorno del sistema, se trata de descubrir nuevas amenazas para diseñar e implantar acciones preventivas y correctivas.

La norma ISO 17799:2000 pretende ser una guía, no exclusiva ni excluyente, de las prácticas de aplicación de controles de seguridad y, además, al nacer con una vocación universalista, contiene controles que podrían resultar inadecuados o, al menos, excesivos e ineficientes según el objeto, alcance, naturaleza o dimensión de los sistemas u organizaciones en donde se pretenda implantar, por lo que abre la posibilidad a excluir parte de ella en Ia implantación del sistema, siempre y cuando esas salvedades estén claramente identificadas y registradas, justificando de manera suficiente Ia adopción de estas exclusiones.

Otras guías de interés:

  • Confederación de Empresarios de Andalucía

    Centro de Servicios Empresariales de Andalucía
    C/ Arquímedes, 2 Isla de la Cartuja,
    41092, Sevilla

  • Federación Andaluza de Autónomos

    Federación Andaluza de Autónomos
    CEAT-Andalucía
    C/ Arquímedes, 2. Isla de la Cartuja,
    41092, Sevilla

  • Servicio Andaluz de Empleo

    Servicio Andaluz de Empleo
    Consejería de Empleo
    Junta de Andalucía

Confederación de Empresarios de Andalucía
C/ Arquimedes, 2.Isla de la Cartuja 41092
Sevilla ESPAÑA

http://www.cea.es
Teléfono: 954 48 89 00
Fax: 954 48 89 11