7.3.1 RIESGOS EN EL PUESTO DE TRABAJO.

Los riesgos de ciberseguridad: análisis y tratamiento.

Las necesidades de protección de un sistema informático formado por diferentes departamentos con puestos de trabajo tanto presencial como teletrabajo, se establecen mediante la realización de un análisis de riesgos.

Dicho de otro modo, es determinar en qué consiste el nivel de riesgo que la empresa está soportando.

* Análisis de riesgos: Es el proceso dirigido a determinar la probabilidad de materialización de las amenazas sobre los bienes informáticos e implica la identificación de los bienes a proteger, las amenazas que actúan sobre ellos, su probabilidad de ocurrencia y el impacto que dichas amenazas puedan causar sobre los bienes.

* La realización del análisis de riesgos debe contener:

- Una detallada determinación del sistema informático objeto de protección.

- La creación de un inventario de bienes informáticos a proteger.

- La evaluación de los bienes informáticos a proteger en orden de su jerarquía e importancia para la empresa.

- La identificación y evaluación de amenazas y vulnerabilidades.

- La estimación de la relación importancia--riesgo asociada a cada bien informático, denominada peso de riesgo.

* En el proceso de análisis de riesgos se pueden diferenciar dos aspectos:

- Evaluación de riesgos orientada a determinar los sistemas que, en su conjunto o en cualquiera de sus partes, pueden verse afectados por amenazas, valorando los riesgos y estableciendo sus niveles a partir de las posibles amenazas, las vulnerabilidades existentes y el impacto que puedan causar a la entidad.

> Limitar el impacto que puede causar una amenaza, si se mostrara.
> Reducir o eliminar una vulnerabilidad existente.
> Permitir en función de la solución adoptada, la recuperación del impacto o su transferencia a terceros.

La gestión de riesgos implica la clasificación de las alternativas para manejar los riesgos en los que puede estar sometido un bien informático dentro de los procesos de una empresa. Implica una estructura bien definida, con controles adecuados y su conducción mediante acciones factibles y efectivas.

Estas medidas se denominan generalmente tratamiento de riesgos. Para ello se cuenta con las técnicas de manejo del riesgo que se enumeran a continuación:

* Evitar:

Impedir el riesgo con cambios significativos por mejoramiento, rediseño o eliminación en los procesos, siendo el resultado de adecuados controles y acciones realizadas. Por ejemplo, sustituyendo el activo por otro que no se vea afectado por la amenaza o eliminando la actividad que lo produce.

* Reducir:

Cuando el riesgo no puede evitarse por dificultades de tipo operacional, la alternativa puede ser su reducción hasta el nivel más bajo posible. Esta opción es la más económica y sencilla y se consigue optimizando los procedimientos y con la implementación de controles. Para conseguir reducir el riesgo se puede:

- Reducir la probabilidad o frecuencia de una ocurrencia, por ejemplo, tomando medidas preventivas.

- Reducir el impacto de la amenaza o acotar el impacto, estableciendo por ejemplo controles y revisando el funcionamiento de las medidas preventivas.

* Transferir, compartir o asignar a terceros:

En ocasiones la empresa no tiene la capacidad de tratamiento y precisa la contratación de un tercero con capacidad para reducir y gestionar el riesgo dejándolo por debajo del umbral. Se trata de buscar un respaldo contractual para compartir el riesgo con otras entidades, por ejemplo, alojamiento, hospedaje, externalización de servicios, entre otros.

* Retener:

Cuando se reduce el impacto de los riesgos pueden aparecer riesgos residuales. Dentro de las estrategias de gestión de riesgos de la entidad se debe plantear cómo manejarlos para mantenerlos en un nivel mínimo.

* Aceptar:

Se asume el riesgo, bien porque está debajo del umbral aceptable de riesgo bien en situaciones en las que los costes de su tratamiento son elevados y aun siendo riesgos de impacto alto su probabilidad de ocurrencia es baja o porque aun a pesar del riesgo la empresa no quiere dejar de aprovechar la oportunidad que para su negocio supone esa actividad arriesgada.

Gestión de riesgos de seguridad de la información

Centrándonos en la propia información y qué riesgos podemos tener en la empresa, para poder realizar las medidas de análisis y tratamiento anteriormente mencionadas, podemos inicialmente determinar las propiedades de la información en una empresa:

* Confidencialidad: La información sólo tiene que ser accesible o divulgada a las personas que tengan autorización para recibirla.

* Integridad: La información debe tener el contenido íntegro y tal y como se generó por parte del emisor sin manipulación de terceros.

* Disponibilidad: La información debe estar accesible de forma sencilla para las personas que tengan autorización.

Vulnerabilidades, amenazas y riesgos de seguridad

En materia de ciberseguridad, debes tener clara la relación entre tres conceptos muy vinculados pero que tienen connotaciones diferentes:

* Vulnerabilidad: Aquella debilidad o fallo en un sistema de información que pone en riesgo la seguridad de nuestros activos de información. Existen vulnerabilidades técnicas, referidas a los fallos en el hardware o software informático y humanas (ausencia de protocolos, equipos inexpertos, instalaciones de quipo poco seguras,...).

Ejemplo: La falta de formación de las personas que tratan con información confidencial de clientes, sería una vulnerabilidad del sistema de gestión de la información de la empresa.

* Amenaza: Cualquier elemento que aprovecha una vulnerabilidad para atentar contra la seguridad de un activo de información. Cuando una amenaza aprovecha la debilidad de un sistema de información se habla de "incidente de seguridad". Algunos ejemplos:

Ataques de Denegación de Servicio (DOS):

Amenaza Persistente Avanzada (APT):

Exploit:

* Riesgo: Según la normativa aplicable a este ámbito (ISO/IEC 27005 sobre Gestión de riesgos de la Seguridad de la Información), un riesgo se define como: la posibilidad de que una amenaza concreta pueda aprovechar una vulnerabilidad para causar una pérdida o daño en un activo de información.

¿Qué tipo de amenazas y vulnerabilidades podemos encontrarnos en una empresa relativas a la seguridad de la información?

Podemos diferenciarlas entre amenazas y vulnerabilidades:

Amenazas:

De origen natural:

Errores relativos a la infraestructura auxiliar:

Errores en los sistemas informáticos y de comunicaciones, que pueden ser clasificados en:

> Errores en las aplicaciones.
> Errores a nivel hardware o equipos de transmisiones.

Error humano:

> Funcionamiento incorrecto por abuso o robo de derechos de acceso o errores en el uso, falta de disponibilidad, etc.
> Información comprometida por robo de equipos, desvelado de secretos, espionaje, etc.

Vulnerabilidades:

- Equipamiento informático que pueda ser susceptible a variaciones de las condiciones de temperatura o humedad.

- Sistemas operativos que por su estructura, configuración o mantenimiento son más vulnerables a algunos ataques.

- Localizaciones que son más propensas a desastres naturales como por ejemplo inundaciones o que están en lugares con variaciones de suministro eléctrico. La ubicación de la empresa a este respecto es principal para determinar si es susceptible de sufrir este tipo de vulnerabilidades.

- Aplicaciones informáticas, que, por su creación e implementación en sistemas, son más inseguras que otras.

- Personal sin la formación adecuada, ausente o sin supervisión. La formación y la concienciación del trabajador respecto a la seguridad en la empresa se antoja un factor diferencial a la hora de analizar los posibles riesgos que puede tener la empresa. Volver al indice

Página principal