¿Qué son los riesgos de seguridad de la información?
Los riesgos de seguridad de la información se corresponden con la probabilidad que tienen ciertas amenazas de explotar las vulnerabilidades en las tecnologías de la información de la organización y generar impactos.
Estos impactos se pueden dividir en tres grandes apartados:
- Confidencialidad. Ocurre cuando la información de la organización está en riesgo de ser divulgada a otras partes no autorizadas, pudiendo hacerse un uso fraudulento o dañino de la misma.
- Integridad. Se produce cuando la información deja de ser exacta o se modifica de forma no autorizada. Este riesgo TI suele asociarse con casos de encriptación de datos pero puede materializarse en casos más leves como simple pérdida de información por el uso de distintas versiones de un documento o la actualización sin autorización.
- Disponibilidad. Implica que la información que debería estar disponible en un momento dado no lo está y esto causa interrupciones en la actividad, ya sea interna o por parte de un tercero.
Estas tres áreas componen lo que se conoce como Triada CID de la Seguridad de la Información.
Tipos de riesgos de seguridad de la información
Las fuentes de riesgo relacionados con seguridad de la información pueden ser múltiples y su clasificación variar en función del marco de trabajo que se esté desarrollando en la organización. A pesar de ello podríamos clasificarlos en función de las amenazas que pudieran llegar a materializar, si bien la causa no suele ser aislada.
- Ataques externos. Su finalidad suele ser maliciosa, ya sea por extraer un rendimiento económico de la empresa atacada, o bien por la comercialización con la información que se extraiga. Habitualmente se asocian con la ciberseguridad. Entre los más comunes encontraríamos ataques de denegación de servicio (DDoS), ataques con malware para encriptación de la información o robo de datos, ya sea por suplantación de identidad o por acceso ilícito mediante otras técnicas.
- Errores humanos. Suelen estar detrás de la mayoría de incidentes de seguridad de la información que se producen en las organizaciones. Estos errores pueden ser intencionados o no intencionados pero el resultado va contra uno de los tres pilares de la seguridad de la información mencionados (integridad, disponibilidad y confidencialidad).
- Eventos naturales. Suelen desencadenar riesgos físicos y están producidos por circunstancias externas como sobrecargas en la red, incendios, inundaciones y otras catástrofes.
Gestión de riesgos de seguridad de la información
La gestión TI ha cambiado completamente en los últimos años y ha pasado de ser un área aislada de la organización a formar parte de las estructuras más importantes de la misma hasta el punto de estar en muchas ocasiones vinculada a la estrategia de la organización.
En lo que respecta a su gestión, aunque los marcos de trabajo pueden ser variados, en general es necesario:
Identificación de riesgos potenciales
Para su identificación es necesario un análisis en profundidad contando con una visión global de la organización. Para ello, es importante que cuente con todas las partes implicadas en la organización, tanto internas como externas, y analizar en detalle los procesos para identificar los riesgos potenciales.
Análisis de riesgos
Una vez inventariados se han de analizar en detalle. Esto puede variar en función del marco de trabajo empleado pero, en líneas generales, para cada uno se deberá establecer:
- Proceso al que aplica.
- Objetivo del proceso.
- Identificación de activos TI empleados.
- Riesgos asociados a esos activos y procesos.
- Amenazas.
- Identificación de controles existentes.
- Identificación de las vulnerabilidades.
- Identificación de las consecuencias.
Evaluación de riesgos IT
En base a la información obtenida anteriormente se debe establecer la probabilidad e impacto de cada uno de ellos para poder priorizar y representarlos en una matriz de riesgos IT.
Establecimiento de controles para el tratamiento de riesgos
Una vez priorizados, es necesario establecer los controles necesarios para el tratamiento de estos riesgos. En función del marco de trabajo empleado también encontraremos diferencias en el número de controles y su clasificación. Si hacemos referencia, por ejemplo, a la ISO 27001 (ISO 27002) encontramos que son 93 controles que se encuentran precargados en el software de gestión ISOTools.
Monitorización de riesgos IT
Una vez tenga determinados los controles e indicadores deberá establecer los mecanismos necesarios para mantener dichos controles efectivos y el riesgo en niveles aceptables para la organización.
Software de gestión de riesgos IT
Como resultado del proceso de gestión de riesgos será necesario tener en cuenta una gran cantidad de activos, controles, indicadores y evidencias de los mismos.
Para su gestión ágil y monitorización constante se hace imprescindible un software de gestión de riesgos IT que permita automatizar los procesos de gestión de riesgos, gestión y evaluación de controles, monitorización del estado de cada riesgo, identificación temprana y valoración en términos económicos y de recursos empleados.