Día tras día, nos exponemos a riesgos de todo tipo. El simple hecho de cruzar la calle implica el riesgo de ser atropellados, lanzarse en paracaídas puede conllevar que el paracaídas no se abra y ya pueden intuir el resultado, o realizar una compra por internet puede entrañar el riesgos de que obtengan nuestros datos bancarios. Está claro que a nivel personal no podemos hacer un análisis de riesgos de cada acción o decisión que tomemos y no hablemos ya de documentarlo conscientemente.
Si pensamos en el ámbito empresarial, donde la mayor parte de acciones deben tomarse de un modo objetivo, ser capaz de cuantificar el riesgo puede suponer en muchos casos la diferencia entre el éxito o el fracaso. En este sentido las áreas TIC de las empresas han sido uno de los ámbitos pioneros en acometer análisis de riesgos, impulsado por ser un requisito de normas como la ISO 27001 y sus anteriores ediciones, o como proyecto de entidad propia.
El análisis de riesgos es la herramienta a través de la cual se puede obtener una visión clara y priorizada de los riesgos a los que se enfrenta una entidad: tiene como propósito identificar los principales riesgos a los que una entidad está expuesta, ya sean desastres naturales, fallos en infraestructura o riesgos introducidos por el propio personal. En este sentido pretende identificar los riesgos más significativos que pueden afectar a la operativa de la entidad y priorizar medidas a implantar para minimizar la probabilidad de materialización de dichos riesgos o el impacto en caso de materializarse.
La pregunta principal es: ¿cómo llevamos a cabo un análisis de riesgos?
Antes entrar en harina, para los lectores que no estén familiarizados con el concepto, vamos a proponer 2 definiciones de análisis de riesgos que provienen del ámbito TIC:
- Proceso sistemático para estimar la magnitud de los riesgos a la que está expuesta una Organización. (MAGERIT)
- Utilización sistemática de la información disponible para identificar peligros y estimar riesgos. (ENS)
¿Cómo se hace un análisis de riesgos?
Como todo en esta vida uno tiene la opción de reinventar la rueda o partir de una metodología reconocida. La intención de este post es introducir al lector en las distintas metodologías existentes, no en detallar el proceso de análisis de riesgos definido en una de ellas. En posteriores post seleccionaremos una de ellas y la diseccionaremos… adivinen cual .
No obstante, en esta entrada y la siguiente vamos a introducirles en metodologías de análisis de riesgos:
MAGERIT
MAGERIT es la metodología de análisis y gestión de riesgos desarrollada por un equipo del Comité Técnico de Seguridad de los Sistemas de Información y Tratamiento Automatizado de Datos Personales del consejo Superior de Administración Electrónico. El nombre de MAGERIT viene de Metodología de Análisis y GEstión de Riesgos de los Sistemas de Información de las adminisTraciones públicas. No obstante también proporciona un marco valido para el desarrollo de análisis de riesgos en entidades privadas.
Se han realizado dos versiones de MAGERIT. La primera de ellas data de 1997 y la versión vigente data de 2005. La versión 2 de la metodología está compuesta de 3 libros:
- El primero se denomina Método, y describe las tareas a realizar para acometer proyectos de análisis y gestión de riesgos aportando una guía para el desarrollo de análisis de riesgos, aspectos prácticos y consejos para facilitar la tarea.
- El segundo libro Catálogo de elementos, recoge el catálogo de elementos implicados en el análisis de riesgos tales como: una categorización de activos, las dimensiones aplicables (DICAT), criterios para valoración de activos como procesos de negocio o datos, catálogo de amenazas y un catálogo de medidas a implantar para mitigar los riesgos a los que están expuestos los sistemas de información. Por último indica cómo desarrollar un informe.
- El tercer libro, Guía de Técnicas, proporciona técnicas para el análisis de riesgos tales como: Algoritmos de análisis, árboles ataque, análisis coste-beneficio, diagramas de flujo, tablas de procesos o técnicas de trabajo. El uso de la herramienta asociada a esta metodología PILAR implementa muchas de estas soluciones técnicas.
A modo resumen a continuación se expone un diagrama que contempla las distintas fases en el análisis de riesgos que recoge esta metodología:
CRAMM
CRAMM es la metodología de análisis de riesgos desarrollado por la Agencia Central de Comunicación y Telecomunicación del gobierno británico. El significado del acrónimo proviene de CCTA Risk Analysis and Management Method. Su versión inicial data de 1987 y la versión vigente es la 5.2. Al igual que MAGERIT, tiene un alto calado en administración pública británica, pero también en empresas e instituciones de gran tamaño. Dispone de un amplio reconocimiento.
La metodología de CRAMM incluye las siguientes 3 etapas:
- La primera de las etapas recoge la definición global de los objetivos de seguridad entre los que se encuentra la definición del alcance, la identificación y evaluación de los activos físicos y software implicados, la determinación del valor de los datos en cuanto a impacto en el negocio y la identificación.
- En la segunda etapa de la metodología se hace el análisis de riesgos, identificando las amenazas que afecta al sistema, así como las vulnerabilidades que explotan dichas amenazas y por último el cálculo de los riesgos de materialización de las mismas.
- En la tercera etapa se identifican y seleccionan las medidas de seguridad aplicadas en la entidad obteniendo los riesgos residuales, CRAMM proporciona una librería unas 3000 medidas de seguridad.
Muy buena información Toni :)
Yo además comentaría que una de las diferencias entre ambas metodologías es el hecho en como se muestran los resultados finales. Ya que MAGERIT nos mostrará los resultados expresados en valores económicos (precio) y CRAMM lo hará con valoraciones numéricas (de 1 a 5 por ejemplo). Esto hace que MAGERIT sea maś costoso de realizar pero a la hora de mostrar los resultados del análisis estos serán más precisos y fundamentados.
Saludos
fikih888
MAGERIT, es la que utilizo para la seguridad de la empresa, para la que laboro, se me hace mas amigable y robusta que la ISO 27xxx, pero no quiere decir que no tenga conocimientos de la misma.
Solo que es mas amigable, para mi.
Sin mas por el momento,
Gracias Rafa,
Disculpa el retraso en la contestación, lo que comentas sobre MAGERIT acerca de que unicamente mostrará los resultados en valores el economicos es inexacto, debido a que se puede llevar a cabo un enfoque tanto cualitativo (escala númerica)como cuantitativo (económico), la propia metodología lo contempla al igual que la herramienta PILAR.
Un saludo