Todas las actividades para la seguridad de la información nacen a partir de un análisis y valoración del riesgo para ser efectivas.
Israel Rosales
Director de Proyectos en COSIM TI SRL. GIAC GICSP, PCIP, CISSP, OSCE, OSCP, CISA, CISM, CRISC, CEH, CHFI, OPST, ITIL, CobIT5, ISO 27001
SGSI Lead Auditor.
Israel es ingeniero informático con Maestría en Gestión de Proyectos. Lleva más de 15 años de actividad continua en seguridad de la información, en cargos como Oficial de Seguridad de la Información (OSI) tanto en el sector de la Banca como en el sector Petrolero (nacional y multinacional). Facilitador de cursos oficiales para certificar CISSP en México DF y Bolivia. Además de ser docente invitado para la Maestría de Auditoría y Seguridad Informática, Maestría de Telecomunicaciones y Maestría de CiberSeguridad en la UAGRM. Autor del libro “GESTIÓN DE ETHICAL HACKING: Un proyecto del CISO para el Negocio”. Revisor Experto de la Guía de certificación CISM v15 de ISACA. Expositor en eventos de ciberseguridad en Bolivia, Brasil, México y Paraguay. Autor de las herramientas T-BIA y T-RISK.
La gestión de riesgos sobre los activos de información es la principal actividad del Responsable de Seguridad de la Información, motivo por el cual requiere de herramientas que le ayuden a cumplir con todas las etapas de este proceso:
Establecer alcance y límites (procesos y servicios).
Evaluar los Riesgos (identificar, analizar y valorar)
Tratamiento de Riesgos (evitar, mitigar, transferir, asumir)
Aceptar el riesgo residual
Comunicar y Monitorear los riesgos ante la Dirección.
El modelo metodológico para la evaluación de riesgos de seguridad en la organización, debe apoyarse en estándares internacionales como por ejemplo ISO/IEC 27005 (Gestión del Riesgo en la Seguridad de la Información) el cual es naturalmente compatible con los principios para la Gestión de Riesgos definidos en el estándar internacional ISO 31000.
Es importante comprender que el análisis de riesgo no solo debe cubrir el ámbito tecnológico, es decir, limitado a los activos informáticos de TI, sino que debe abarcar los procesos y servicios de negocio, enfocado en activos de información del negocio.
Durante las auditorías y consultorías que he venido realizando estos últimos años a diferentes empresas he notado que el regulador de entidades financieras ASFI (Autoridad de Supervisión del Sistema Financiero) es cada vez más exigente en temas como la revisión del análisis de riesgos de seguridad de la información, llegando a observar cualquier implementación de seguridad, adquisición de soluciones o incluso alcance de servicios de ethical hacking que no estén justificados por un análisis de riesgos previo, al margen de que la entidad debe realizar al menos un análisis de riesgo anual tal como establece el Reglamento para la Seguridad de la Información emitido por el ente fiscalizador ASFI.
Debido a esta necesidad detectada, es que COSIM TI SRL, a través de su división técnica TriLabs SRL, pone a disposición de sus clientes, una herramienta automatizada denominada T-RISK para realizar los análisis de riesgos de manera más confiable, objetiva y automatizada que cuando se utiliza planillas tipo excel.
T-RISK le permite realizar análisis de riesgos bajo metodologías internacionales de seguridad de la información como ser ISO/IEC 27005, manteniendo una base de datos histórica de los AA.RR. realizados por cada gestión y con la posibilidad de generar informes ejecutivos para alta gerencia de forma rápida e ilustrativa.
T-RISK es la solución que permite realizar la gestión completa de los riesgos, desde que son identificados, analizados y valorados, hasta que obtienen una estrategia de respuesta para ser aprobados por la alta dirección de la organización.
El objetivo de T-RISK no es únicamente analizar el riesgo tecnológico, sino el riesgo para la seguridad de la información en los procesos y servicios de negocio, ya sea de forma cualitativa, semicuantitativa o cuantitativa según la madurez de la organización.
T-RISK le permite registrar al menos 4 tipos de estrategias para responder los riesgos:
Evitar/cesar la actividad que da origen al riesgo: Cuando el costo del control es mayor al beneficio esperado.
Transferir el riesgo o compartirlo: Cuando el riesgo persiste pese a la implementación de controles propios.
Mitigar el riesgo: Cuando el riesgo puede ser minimizado implementando medidas y mecanismos de control sin ayuda de terceros.
Asumir/retener el riesgo: Cuando el impacto del riesgo es menor al costo de implementar el control, por tanto, la organización puede convivir con el riesgo.
El resultado de esta simulación es un nivel de riesgo residual, para ser aceptado por la dirección según el apetito de riesgo de la organización.
T-RISK le permite elegir cualquiera de los tres módulos para la valoración de riesgos:
Análisis de Riesgo CUALITATIVO
Análisis de Riesgo SEMI-CUANTITATIVO
Análisis de Riesgo CUANTITATIVO
De esta manera podemos realizar desde análisis básicos y sencillos de forma cualitativa, hasta análisis avanzados cuantificando las expectativas de pérdida anual.
El algoritmo del análisis semicuantitativo de T-RISK le permite realizar cálculos de probabilidad con mayor objetividad, considerando variables como ser: verosimilitud de las amenazas, frecuencia de ocurrencia, factores de aplicabilidad, madurez de los controles, capacidades de protección sobre los activos, entre otros como se expone a continuación:
T-RISK considera el riesgo agregado, es decir, cuando una amenaza afecta a X vulnerabilidades, que en conjunto producen un impacto importante. O bien, cuando X amenazas afectan simultáneamente a X vulnerabilidades menores cuya suma de impactos es significativa, según el escenario de riesgo definido.
T-RISK le permite adicionar su propio catálogo de amenazas en T-RISK según los escenarios de riesgo a evaluar, definiendo aquellos procesos y servicios de negocio que serán sometidos al análisis de riesgos para luego ser aprobados por las gerencias correspondientes.
T-RISK le permite definir los activos de información y niveles de riesgo según la metodología de gestión de riesgos utilizada o aprobada en su organización. El objeto de esta definición, es que el análisis de riesgo sea estándar y ágil para una adecuada y pronta toma de decisiones.
Los mapas de calor son una herramienta indispensable en la etapa de Comunicación del Riesgo, ya que le permiten exponer de forma ilustrativa al negocio, aquellas amenazas identificadas según el escenario de riesgo, comparando de forma sencilla los riesgos inherentes versus los riesgos residuales, mismos que son incluidos automáticamente en los informes ejecutivos de Análisis de Riesgo para exportar o imprimir.
Las gráficas ejecutivas le permiten presentar ante la Alta Gerencia el avance de los análisis de riesgo de seguridad de la información realizados sobre los procesos de negocio, el perfil de riesgos de la organización y los resultados obtenidos como riesgo residual.
CONTACTO:
TELF. 591-3-3454324
#noticias-tecnologia-bolivia
#revista-tecnologia-bolivia