ejemplo, si la amenaza de un corte de suministro eléctrico aprovecha la vulnerabilidad de que el equipo informático no dispone de un sistema de alimentación ininterrumpida, el equipo no se podría encender, viéndose comprometida la disponibilidad de la información cuando se necesite.
Recuerde
Las propiedades principales de la seguridad de la información son 3:
1 Confidencialidad.
2 Integridad.
3 Disponibilidad.
2.3. Riesgo de un incidente de seguridad
El riesgo es una medida del daño probable que causará una amenaza, que aprovecha una vulnerabilidad para causar un daño. Es mayor cuanto más frecuente sea la aparición de la amenaza, y cuanto mayor sea el daño del incidente que acarree. Una aproximación cuantitativa sencilla es emplear la siguiente fórmula:
Se puede reducir el riesgo, añadiendo las contramedidas que reduzcan las vulnerabilidades a las posibles amenazas. Cuantas más contramedidas se dispongan, es decir, cuantos más recursos se dediquen a la seguridad de los equipos informáticos, menor es el daño probable, o lo que es lo mismo, menor es el riesgo para el sistema de información.
Existirá un balance entre el riesgo de un incidente de seguridad y los recursos que se dediquen a reducir su daño probable. Este balance debe ser gestionado de una manera metódica por varias razones, pero principalmente por las siguientes:
1 Para poder analizar la viabilidad de la inversión en seguridad. Es necesario justificar la inversión de recursos en seguridad, y para ello, hay que poder determinar mediante un método los riesgos existentes, antes y después de la inversión.
2 Para poder analizar la mejora o no, en el cumplimiento de los objetivos de la seguridad de la información a lo largo del tiempo. Es necesario poder evaluar de una manera sistemática el estado de riesgo de los sistemas de información de una empresa, por ejemplo, en auditorías internas anuales, o quizá mediante auditorías externas, a las que esté obligada la empresa por alguna ley.
Este método sistemático, que se precisa para decidir cuánto riesgo asume la empresa, constituye lo que se denomina un “modelo de seguridad”. El modelo de seguridad persigue organizar los procesos de gestión de la seguridad de la información, en base a unas directrices (que pueden ser estrategias empresariales, normativas cuyo cumplimiento se quiera certificar para poder exportar los productos o prestar los servicios o, sencillamente, leyes que se esté obligado a cumplir), y algún método para calcular los riesgos del sistema de información.
Sabía que...
Para una correcta gestión de la seguridad de la información, se deberá definir en un documento una “política de seguridad”. Esta política proporciona a la Dirección de la empresa las directrices y ayudas en materia de seguridad de la información, procedentes de requerimientos comerciales, requerimientos legales, nacionales e internacionales, de objetivos de la organización y de otras regulaciones aplicables.
Resumidamente, un Modelo de Seguridad orientado a la gestión del riesgo, emplea el cálculo del riesgo, y unos criterios empresariales (normativa, legislación, etc.), para poder decidir si es viable reducir el riesgo que se asume, o no.
La siguiente aplicación práctica es un ejemplo sencillo del empleo de un modelo de seguridad orientado a la gestión del riesgo, que aúna los principales conceptos vistos hasta ahora, y que se desarrollarán más ampliamente en los próximos capítulos.
Aplicación práctica
Se parte de una empresa que provee alojamiento de páginas web, con un sistema de información valorado en 250.000 €. Un análisis de riesgos revela que hay dos amenazas:
1 Un fallo del suministro eléctrico, caracterizado por:Impacto o daño = 10.000 €Probabilidad de ocurrencia de la amenaza= 0. 1
2 Un ataque dirigido desde internet, caracterizado por:Impacto o daño =500.000 €Probabilidad de ocurrencia de la amenaza= 0.005
El modelo de seguridad de la empresa tiene el criterio de “optimizar la inversión concentrando los recursos en eliminar la mayor amenaza, y asumir el riesgo de las amenazas menores”. Se pide que:
1 Se cuantifique el riesgo de cada amenaza.
2 Se calcule el presupuesto en seguridad que resultaría justificado invertir.
3 Se calcule el riesgo que asume la empresa tras la inversión.
SOLUCIÓN
1 CÁLCULO DE RIESGOS: Amenaza 1: riesgo = 10.000 x 0. 1 = 1.000 €. Amenaza 2: riesgo = 500.000 x 0.005 = 2.500 €. La amenaza 2, pese a ser veinte veces menos probable que la amenaza 1, es la de mayor riesgo a causa de su elevado impacto.
2 PRESUPUESTO EN SEGURIDAD: El modelo de seguridad indica que, por criterio de la empresa, debe eliminarse la mayor amenaza, que es la que tiene un riesgo de 2.500 €. El presupuesto que se puede dedicar a combatir la amenaza es de 2.500 €.
3 RIESGO TRAS LA INVERSIÓN: El modelo de seguridad indica que, por criterio de la empresa, se asume el riesgo del resto de amenazas, es decir el de amenaza 1. El riesgo asumido resultante es de 1.000 €.
Para estudiar el riesgo, existen dos pasos claramente diferenciados:
1 El análisis de riesgos, que consiste en identificar amenazas, determinar las vulnerabilidades, y medir el impacto o daño que causaría un incidente. Se pueden emplear métodos cuantitativos (como en la aplicación práctica anterior), o cualitativos (valorando el riesgo en muy alto, alto, bajo, medio, etc.), para ordenar los riesgos.
2 La gestión de riesgos, que partiendo de los resultados del análisis de riesgos, y una vez determinados los criterios para aceptar un riesgo (legales, económicos, etc.), permite elegir las contramedidas de seguridad que se implantarán.
El análisis y gestión de riesgos aporta un valor extraordinario a la gestión de seguridad, reduciendo la probabilidad de fracaso de una empresa, y protegiéndola, al ser una herramienta que facilita que la actividad futura se realice de manera efectiva y controlada.
Sabía que...
La gestión de riesgos forma parte de la estrategia
