• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / La gestión del riesgo

La gestión del riesgo

6 junio, 2005 Por Hispasec Deja un comentario

Cuando se asume la responsabilidad de gobernar las tecnologías de la
información a nivel corporativo, inmediatamente se aceptan muchos retos
particularmente interesantes. Estar al tanto de vulnerabilidades,
parches, virus, gusanos, troyanos y ese largo etcétera de amenazas que
golpean una y otra vez los sistemas de la información.

En circunstancias normales, los responsables de seguridad actúan
proactivamente para prevenir los efectos perniciosos de los ataques, y
cuando no hay más remedio, porque la prevención ha fallado, se actúa a
posteriori. Pero, ¿se plantean los responsables antes de cualquier otra
cosa de medir el riesgo que conllevan estas amenazas?

Difícil balanza la que representa colocar en un platillo la cantidad de
riesgo que estamos dispuestos a asumir, y el otro platillo la cantidad
de recursos financieros de los que disponemos para mitigar los riesgos
en materia de seguridad de la información.

La gestión del riesgo se ha convertido en un escollo para la dirección
estratégica de las organizaciones que confían en metodologías
reconocidas para alimentar sus sistemas de gestión. Especialmente duro
se hace gestionar el riesgo en aquellas empresas cuyos procesos críticos
reposan en tecnologías de la información, sobre todo, cuando la
seguridad de esos procesos es igualmente crítica: banca,
telecomunicaciones, proveedores de acceso, y muchas otras organizaciones
donde un fallo crítico puede suponer, en el mejor de los casos, una
ruptura de la continuidad del negocio.

En estos casos la gestión del riesgo deja de ser algo opcional para
convertirse en algo obligatorio. Desde hace tiempo, en Hispasec Sistemas
hemos tomado nota de éstos cambios en las tendencias de gestión y hemos
aplicado en nuestra cartera de clientes metodologías avanzadas de
gestión de riesgos para conseguir controlar y administrar el riesgo,
proporcionando al mínimo coste, la máxima integridad, disponibilidad y
confidencialidad de la información corporativa. Tarea compleja, sin
duda, teniendo en cuenta las muchísimas variables de las que depende el
riesgo.

La gestión de la seguridad de la información es muy extensa, pero sin
duda alguna, uno de sus puntos claves es la adecuada gestión del riesgo.
Equilibrar los dos platillos de la balanza de los que hablamos es, la
gran mayoría de las veces, difícil de abordar, y la incertidumbre de los
resultados es muy elevada, especialmente cuando no hay datos anteriores
que permitan proyectar una posible tendencia. Para más inri, hay riesgos
incontrolables y que por tanto escapan a toda planificación. Pero esto
no puede ser obstáculo para que apartemos a un lado los riesgos, y
sigamos mirando al frente como si nada hubiera pasado.

Es preciso tener claro que establecer contramedidas para mitigar
absolutamente todos los riesgos es algo desmesurado, por cuestiones
económicas y de índole operativa, y que tampoco sería correcto asumir la
totalidad de los riesgos, sin invertir en ninguna medida de control de
los mismos. Es necesario llegar a un equilibrio entre inversión y riesgo
asumido voluntariamente, y éste es el objetivo principal de la gestión
de los riesgos, tal y como se ha explicado.

Maneras de gestionar adecuadamente el riesgo hay muchas. Desde luego,
siempre se aconseja emplear metodologías reconocidas ya que éstas emanan
de una experiencia y un contraste que las hace válidas a priori.

Ejemplos de estas metodologías está la metodología MAGERIT (Metodología
de Análisis y Gestión de Riesgos de los Sistemas de Información de las
Administraciones Públicas), impulsada originalmente por el Ministerio
de Administraciones Públicas, y cuya revisión y actualización se
vaticina como muy próxima. MAGERIT proporciona un buen número de
herramientas para que obtener un mapa de todos los riesgos que deseamos
controlar y representar, lo que facilita enormemente la toma de decisiones.

Esta metodología considera acertadamente que la gestión del riesgo es el
«alma mater» de toda actuación organizada en materia de seguridad y, por
tanto, de la gestión global de la misma.

A nivel internacional los estándares comúnmente aceptados como válidos
son los que proclama la norma internacional ISO/IEC 17799:2000
«Information technology. Code of practice for information security
management». Recientemente, el 17 de mayo de 2005, ha visto la luz una
ampliación denominada «Security techniques» dentro del marco que brinda
ISO 17799:2000.

Esta norma internacional deriva del marco reglamentario BS 7799,
elaborado y definido por el British Standards Institution, en el que se
definieron diez puntos de control para gestionar adecuadamente los
sistemas de la información. Estos puntos de control han sido
contemplados igualmente en el marco ISO 17799 y sus trasposiciones a
normas nacionales:

1) Política de Seguridad, donde se establecen las directrices
gerenciales en materia de seguridad.

2) Organización de recursos y activos de la información, para sentar las
correctas bases de la gestión de la seguridad dentro de la empresa.

3) Clasificación y control de activos de la información, donde se
pretende inventariar los activos a proteger así el establecimiento de
las correctas medidas de protección.

4) Seguridad ligada al personal, con el fin de tratar aspectos relativos
a la seguridad vinculada a los recursos humanos: confidencialidad,
accesos no permitidos, fugas de información, etc.

5) Seguridad física y del entorno, donde se establecen las pautas
correspondientes a la seguridad de las instalaciones físicas.

6) Gestión de las comunicaciones y las operaciones, con la idea de
asegurar el procesado de la información.

7) Control de acceso, en el que se establecen privilegios y
autorizaciones para acceder a los recursos.

8) Desarrollo y mantenimiento de sistemas, que serán los recipientes
principales de la gestión de la seguridad.

9) Gestión de la continuidad de los negocios, donde se establecen planes
de recuperación y minimización del impacto ante discontinuidades en los
procesos críticos de la empresa.

10) Conformidad legal, donde se observa el cumplimiento con la
legislación vigente según la localización territorial de la empresa.

Para el caso concreto de España, existe una trasposición de la norma
codificada como UNE-ISO/IEC 17799:2002 «Tecnología de la Información.
Código de buenas prácticas para la Gestión de la Seguridad de la
Información». Otro documento interesante a considerar es el conjunto de
especificaciones publicadas en la norma española UNE 71502:2004,
«Especificaciones para los Sistemas de Gestión de la Seguridad de la
Información (SGSI)», que proporciona un marco certificable para la norma
global de seguridad.

En resumen, es fácil comprobar cómo la seguridad de la información es
mucho más que la seguridad informática más tradicional, y es fácilmente
observable como, a la hora de hablar de seguridad de la información,
todo gira en torno a un eje temático: La gestión del riesgo.

Sergio Hernando
shernando@hispasec.com

Más información:

Metodología MAGERIT
http://www.csi.map.es/csi/pg5m20.htm

Chinchon: Software de Gestión de Riesgos según MAGERIT 1.0
http://www.criptored.upm.es/software/sw_m214_01.htm

Códigos de Buenas Prácticas de Seguridad. UNE-ISO/IEC 17799
http://www.criptored.upm.es/guiateoria/gt_m209d.htm

British Standards Institution 7799 Information Security
http://www.bsi-global.com/Global/bs7799.xalter

Checklist de SANS sobre ISO 17799
http://www.sans.org/score/checklists/ISO_17799_checklist.pdf

Ejemplo de Implementación y Mejora del Método de Gestión Riesgos en un
Proyecto Software
http://www.ewh.ieee.org/reg/9/etrans/Marzo2005/paper119.pdf

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware, Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Técnica permite modificar ficheros PDF con firma digital

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR