2.1 EVALUACIÓN DE RIESGO
GESTIÓN DE RIESGO
La gestión de riesgos informáticos es el proceso de identificar, analizar y responder a factores de riesgo. así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
En este caso el activo a proteger es
la información de la compañía. Hablamos tanto de información «digital» contenida en
nuestros sistemas de información como aquella contenida en cualquier otro soporte como
por ejemplo el papel. La información es el activo principal pero también debemos considerar: infraestructura
informática, equipos auxiliares, redes de comunicaciones, instalaciones y personas.
El propósito de la gestión de riesgos es la siguiente:
- Identificar posibles riesgos
- Reducir o dividir los riesgos
- Proporcionar una base racional para la toma de decisiones en relación con todos los riesgos
- Planificar
Antes de intentar determinar cómo gestionar mejor los riesgos, la empresa debe identificar los orígenes de tales riesgos.
¿Para qué sirve evaluar riesgos?
La evaluación de riesgos es un medio para alcanzar un fin: con el objetivo último de prevenir los riesgos de pérdida de información, siendo prioritario actuar antes de que aparezcan las consecuencias. Así pues, una vez realizada la evaluación, si ésta pone de manifiesto situaciones de riesgo, habrá que llevar a cabo las siguientes actuaciones.
• Establecer las prioridades preventivas: Definir un orden de actuación sobre los riesgos, en función de su gravedad y el nº de trabajadores afectados.
• Una vez establecido el orden de actuación, deben adoptarse las medidas preventivas con el orden de prioridad siguiente:
o Combatir los riesgos en su origen.
o Eliminar los riesgos (sustitución de elementos peligrosos por otros seguros).
o Reducir los riesgos que no puedan ser eliminados, implantando los sistemas de control adecuados.
o Aplicar medidas de protección colectiva antes que individuales.
Estableciendo el contexto de seguridad de la información
En esta fase, en función del contexto, se definen los criterios básicos para la gestión de riesgos de seguridad de la información.
Así quedarán definidos los criterios para:
evaluación de riesgos.
- cuáles son los activos de información críticos.
- la importancia de los mismos en cuanto a disponibilidad, integridad y confidencialidad.
- el valor estratégico de los procesos de información del negocio.
- niveles de clasificación de los impacto.
- escalas de aceptación de riesgos.
Por último se define el ámbito y los límites de esta gestión, es decir a qué parte de la organización afecta, que procesos, que oficinas o que parte de la estructura.
Para nuestro caso de estudio aplicando la evaluación de riesgos tenemos que:
cuáles son los activos de información críticos
Servidores y Equipos de Intercambio de Datos
Sistemas de Comunicación y Voz
Sistemas de Seguridad, Prevención y Control de Acceso
Equipos de Cómputo
la importancia de los mismos en cuanto a disponibilidad, integridad y confidencialidad.
· La institución posee doce (13) servidores
· Tres (3) equipos de protección perimetral firewall (Unified Threat Management) tipo Fortigate.
· Cuatro (4) zonas de acceso inalámbrico con potencia media-alta.
· Redes de comunicación e Internet
· Se tienen treinta y cuatro (34) switches de red.
· El router principal pertenece al ISP.
· La sede principal cuenta con un sistema de telefonía convencional o mini central telefónica PBX (Private Branch Exchange).
· PBX Virtual con un total de 24 extensiones VoIP distribuidas en las tres sedes.
· Sensores de movimiento y alarmas de seguridad.
· Cámaras de seguridad IP.
· Sistemas de aire acondicionado.
· Extintores de diferentes tipos según la ubicación del extintor, entorno, equipos y elementos de cada sitio.
· La sede principal cuenta con un sistema de telefonía convencional o mini central telefónica PBX (Private Branch Exchange).
· PBX Virtual con un total de 24 extensiones VoIP distribuidas en las tres sedes.
· Sensores de movimiento y alarmas de seguridad.
· Cámaras de seguridad IP.
· Sistemas de aire acondicionado.
· Extintores de diferentes tipos según la ubicación del extintor, entorno, equipos y elementos de cada sitio.
· En total se dispone de trescientos ochenta y un (381) equipos de cómputo, distribuidos en seis (6) salas de cómputo y cuatro (4) laboratorios de uso estudiantil sumando 270 equipos. Ciento once (111) equipos de cómputo de uso administrativo y docente.
Es importante mencionar que para realizar este análisis es necesario utilizar una metodología.
Metodología de Análisis de Riesgos
Son desarrolladas para la identificación de la falta de controles y el establecimiento de un plan de contra medidas. Existen dos tipos: Las cuantitativas y las cualitativas, de las que existen gran cantidad de ambas clases y sólo se centrará en la utilizada para el proyecto y caso de estudio específico en la Institución Universitaria La metodología que el proyecto adopta es MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información):
https://www.insst.es/InshtWeb/Contenidos/Documentacion/TextosOnline/Folletos/Generales/Ficheros/Que_es_eval_riesgos.pdf
https://gerens.pe/blog/gestion-riesgo-que-por-que-como/
https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico#targetText=El%20an%C3%A1lisis%20de%20riesgos%20inform%C3%A1ticos,evitar%20la%20ocurrencia%20del%20riesgo.
https://www.incibe.es/extfrontinteco/img/File/empresas/guias/Guia_gestion_riesgos/guiagestionriesgos.pdf
https://protejete.wordpress.com/gdr_principal/analisis_riesgo/
Comentarios
Publicar un comentario