Saltar al contenido principal
PLATAFORMA TECNOLÓGICA PARA LA GESTIÓN DE LA EXCELENCIA

Riesgos de Seguridad de la Información

¿Qué son los riesgos de seguridad de la información?

Los riesgos de seguridad de la información se corresponden con la probabilidad que tienen ciertas amenazas de explotar las vulnerabilidades en las tecnologías de la información de la organización y generar impactos.

Estos impactos se pueden dividir en tres grandes apartados:

  • Confidencialidad. Ocurre cuando la información de la organización está en  riesgo de ser divulgada a otras partes no autorizadas, pudiendo hacerse un uso fraudulento o dañino de la misma.
  • Integridad. Se produce cuando la información deja de ser exacta o se modifica de forma no autorizada. Este riesgo TI suele asociarse con casos de encriptación de datos pero puede materializarse en casos más leves como simple pérdida de información por el uso de distintas versiones de un documento o la actualización sin autorización.
  • Disponibilidad. Implica que la información que debería estar disponible en un momento dado no lo está y esto causa interrupciones en la actividad, ya sea interna o por parte de un tercero.

Estas tres áreas componen lo que se conoce como Triada CID de la Seguridad de la Información.

Tipos de riesgos de seguridad de la información

Las fuentes de riesgo relacionados con seguridad de la información pueden ser múltiples y su clasificación variar en función del marco de trabajo que se esté desarrollando en la organización. A pesar de ello podríamos clasificarlos en función de las amenazas que pudieran llegar a materializar, si bien la causa no suele ser aislada.

  • Ataques externos. Su finalidad suele ser maliciosa, ya sea por extraer un rendimiento económico de la empresa atacada, o bien por la comercialización con la información que se extraiga. Habitualmente se asocian con la ciberseguridad. Entre los más comunes encontraríamos ataques de denegación de servicio (DDoS), ataques con malware para encriptación de la información o robo de datos, ya sea por suplantación de identidad o por acceso ilícito mediante otras técnicas.
  • Errores humanos. Suelen estar detrás de la mayoría de incidentes de seguridad de la información que se producen en las organizaciones. Estos errores pueden ser intencionados o no intencionados pero el resultado va contra uno de los tres pilares de la seguridad de la información mencionados (integridad, disponibilidad y confidencialidad).
  • Eventos naturales. Suelen desencadenar riesgos físicos y están producidos por circunstancias externas como sobrecargas en la red, incendios, inundaciones y otras catástrofes.

Gestión de riesgos de seguridad de la información

La gestión TI ha cambiado completamente en los últimos años y ha pasado de ser un área aislada de la organización a formar parte de las estructuras más importantes de la misma hasta el punto de estar en muchas ocasiones vinculada a la estrategia de la organización.

En lo que respecta a su gestión, aunque los marcos de trabajo pueden ser variados, en general es necesario:

Identificación de riesgos potenciales

Para su identificación es necesario un análisis en profundidad contando con una visión global de la organización. Para ello, es importante que cuente con todas las partes implicadas en la organización, tanto internas como externas, y analizar en detalle los procesos para identificar los riesgos potenciales.

Análisis de riesgos

Una vez inventariados se han de analizar en detalle. Esto puede variar en función del marco de trabajo empleado pero, en líneas generales, para cada uno se deberá establecer:

  • Proceso al que aplica.
  • Objetivo del proceso.
  • Identificación de activos TI empleados.
  • Riesgos asociados a esos activos y procesos.
  • Amenazas.
  • Identificación de controles existentes.
  • Identificación de las vulnerabilidades.
  • Identificación de las consecuencias.

Evaluación de riesgos IT

En base a la información obtenida anteriormente se debe establecer la probabilidad e impacto de cada uno de ellos para poder priorizar y representarlos en una matriz de riesgos IT.

Establecimiento de controles para el tratamiento de riesgos

Una vez priorizados, es necesario establecer los controles necesarios para el tratamiento de estos riesgos. En función del marco de trabajo empleado también encontraremos diferencias en el número de controles y su clasificación. Si hacemos referencia, por ejemplo, a la ISO 27001 (ISO 27002) encontramos que son 93 controles que se encuentran precargados en el software de gestión ISOTools.

Monitorización de riesgos IT

Una vez tenga determinados los controles e indicadores deberá establecer los mecanismos necesarios para mantener dichos controles efectivos y el riesgo en niveles aceptables para la organización.

Software de gestión de riesgos IT

Como resultado del proceso de gestión de riesgos será necesario tener en cuenta una gran cantidad de activos, controles, indicadores y evidencias de los mismos.

Para su gestión ágil y monitorización constante se hace imprescindible un software de gestión de riesgos IT que permita automatizar los procesos de gestión de riesgos, gestión y evaluación de controles, monitorización del estado de cada riesgo, identificación temprana y valoración en términos económicos y de recursos empleados.

ISO/IEC 27002:2022 Controles Organizacionales. Todo lo que necesita saber II

ISO/IEC 27002:2022 ISO/IEC 27002:2022 fue publicada este año y en el mundo de la estandarización estamos de fiesta. El estándar…

ISO/IEC 27002:2022 Controles Organizacionales. Todo lo que necesita saber

ISO/IEC 27002:2022 ISO/IEC 27002:2022 - Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad de…

ISOTools Excellence estrena nueva web

Desde hace unos meses estamos trabajando en el programa de actividades con motivo del 25 aniversario de ISOTools. En este marco, una de las grandes novedades a presentarles ha sido la nueva web.

Nueva ISO/IEC 27002:2022: cambios con respecto a la versión de 2013

Nueva ISO/IEC 27002:2022 ISO/IEC 27002:2022 - Seguridad de la información, ciberseguridad y protección de la privacidad — Controles de seguridad…

Capacitación en seguridad de la información. Clave para minimizar el riesgo.

Capacitación en Seguridad de la Información La capacitación es clave para las organizaciones y cuando hablamos de Seguridad de la…

Matriz de riesgos según el marco de trabajo empleado para la gestión de riesgos

Matriz de Riesgos Un marco de trabajo para seguridad de la información es, en pocas palabras, un compendio de normas…