Análisis de Riesgos

La base de un Sistema de Gestión de la Seguridad de la Información (SGSI) está en la elaboración de un adecuado análisis de riesgos. Para la implantación del estándar ISO 27001 es requisito indispensable la realización de un análisis de riesgos para conocer qué amenazas y salvaguardas hay que implantar en una organización. Normalmente los primeros análisis de riesgos son algo genéricos pero conforme pasan los años se optimiza por los responsables de la información y por todos aquellos que son conscientes de la necesidad de asegurar uno de los activos más importante de todas las organizaciones, la información.

Disponer de un análisis de riesgos permite a las organizaciones jugar con la “ventaja” de tomar decisiones de manera más acertada, eficiente y rápida, de tal manera que ante un incidente en uno de los activos, la organización sabe cuánto le afecta en su negocio. Por ejemplo, si tras realizar un análisis de vulnerabilidades descubrimos una vulnerabilidad crítica en uno de los principales sistemas de la organización, debemos estar preparados y saber qué medidas hay que tomar antes de que alguna persona malintencionada aproveche la vulnerabilidad y provoque daños mayores. Por tanto, no se suele tener mucho tiempo para tomar una decisión, y sin un adecuado análisis de riesgos previo, será mucho más complicado tomar una decisión de manera rápida y acertada.

Además, analizar y gestionar los riesgos va a permitir a las organizaciones adaptar el presupuesto en función del valor de los activos y de la probabilidad de que se materialice una amenaza. Es decir, podremos saber cuánto vale la pena gastar para proteger un activo, evitando gastar más de lo necesario para salvaguardar un activo, además de optimizar los recursos disponibles y no olvidar amenazas que se nos hubieran pasado por alto si no nos hubiéramos parado a pensar en los posibles riesgos a los que está expuesta la organización.

Realizar un análisis de riesgos no es algo sencillo, por este motivo existen varias metodologías que nos ayudan a analizar y gestionar los riesgos, como por ejemplo la desarrollada por el gobierno español para las administraciones públicas MAGERIT, u otras menos comunes en territorio español como CRAMM, OCTAVE, MEHARI, SP800-30 y la más reciente ISO 27005, siendo esta última un conjunto de directrices que ayudan a la adaptación del SGSI en ISO 27001.

Por tanto, no veamos como una tontería esto de gestionar los riesgos, porque al igual que analizamos las posibles amenazas que pueden surgir tras la compra de un nuevo coche o una casa para la contratación de un seguro, ¿por qué no hacerlo para proteger la información de una organización? ¿cuánto vale una hora de no disponibilidad de un activo? ¿qué pasaría si se difunde información confidencial de la organización? ¿qué medidas estamos tomando para que esto no suceda? En definitiva, existen amenazas que sin una correcta evaluación y tratamiento de riesgos es difícil identificar, así que ¿por qué no gestionar nuestros riesgos?