Gestión de riesgos de TI

Elementos de la gestión de riesgos

La gestión de riesgos de TI es la aplicación de métodos de gestión de riesgos a la tecnología de la información con el fin de gestionar los riesgos de TI . Existen diversas metodologías para gestionar los riesgos de TI, cada una de las cuales implica procesos y pasos específicos. ^[1]

Un sistema de gestión de riesgos de TI (ITRMS) es un componente de un sistema más amplio de gestión de riesgos empresariales (ERM). ^[2] Los ITRMS también están integrados en sistemas más amplios de gestión de seguridad de la información (ISMS). La actualización y el mantenimiento continuos de un ISMS son, a su vez, parte del enfoque sistemático de una organización para identificar, evaluar y gestionar los riesgos de seguridad de la información. ^[3]

Definiciones

El Manual de Revisión del Auditor Certificado de Sistemas de Información 2006 de ISACA proporciona esta definición de gestión de riesgos: " La gestión de riesgos es el proceso de identificar vulnerabilidades y amenazas a los recursos de información utilizados por una organización para lograr objetivos de negocio, y decidir qué contramedidas , si las hay, tomar para reducir el riesgo a un nivel aceptable, en función del valor del recurso de información para la organización " . ^[4]

Según el NIST, " la gestión de riesgos permite a los administradores de TI equilibrar los costos operativos y económicos de las medidas de protección con los objetivos de la misión al proteger los sistemas y datos de TI " . ^[5]

Relaciones entre entidades de seguridad de TI

El Centro Nacional de Formación y Educación en Seguridad de la Información de Estados Unidos define la gestión de riesgos en el campo de TI como: ^[6]

1. El proceso total para identificar, controlar y minimizar el impacto de eventos inciertos. El objetivo del programa de gestión de riesgos es reducir el riesgo y obtener y mantener la aprobación de la DAA. El proceso facilita la gestión de los riesgos de seguridad por parte de cada nivel de gestión a lo largo del ciclo de vida del sistema. El proceso de aprobación consta de tres elementos: análisis de riesgos , certificación y aprobación.
2. Elemento de la ciencia administrativa que se ocupa de la identificación, medición, control y minimización de eventos inciertos. Un programa eficaz de gestión de riesgos comprende las cuatro fases siguientes:
   1. Evaluación de riesgos, derivada de una evaluación de amenazas y vulnerabilidades.
   2. Decisión de gestión.
   3. Implementación de control.
   4. Revisión de eficacia.
3. El proceso total de identificación, medición y minimización de eventos inciertos que afectan los recursos de AIS. Incluye análisis de riesgos , análisis de costo-beneficio, selección de salvaguardas, pruebas y evaluación de seguridad, implementación de salvaguardas y revisión de sistemas.
4. El proceso total de identificación, control y eliminación o minimización de eventos inciertos que puedan afectar los recursos del sistema. Incluye análisis de riesgos, análisis de costo-beneficio, selección, implementación y prueba, evaluación de seguridad de las salvaguardas y revisión general de la seguridad.

Metodología

Si bien los métodos específicos pueden variar, los procesos de gestión de riesgos generalmente incluyen el establecimiento de contexto, la realización de evaluaciones de riesgos y la gestión de riesgos. Las metodologías de gestión de riesgos de estándares como ISO/IEC 27005 , BS 7799 , NIST SP 800-39 y Risk IT enfatizan un enfoque estructurado para estos procesos. ^[1] La siguiente tabla compara los procesos clave en los principales marcos:

ENISA: El proceso de gestión de riesgos, según la norma ISO 13335

Establecimiento del contexto

El primer paso en el marco de la norma ISO/IEC 27005 es el establecimiento del contexto. Este paso implica recopilar información relevante sobre la organización y definir los criterios, el alcance y los límites de las actividades de gestión de riesgos. Esto incluye el cumplimiento de los requisitos legales, la debida diligencia y el apoyo al establecimiento de un sistema de gestión de seguridad de la información (SGSI). El alcance puede abarcar planes de notificación de incidentes, planes de continuidad empresarial o certificaciones de productos.

Los criterios clave incluyen la evaluación del riesgo, la aceptación del riesgo y la evaluación del impacto, influenciados por: ^[7]

• Requisitos legales y reglamentarios
• El valor estratégico de los procesos de información para el negocio
• Expectativas de las partes interesadas
• Consecuencias negativas para la reputación de la organización

Establecer la misión, los valores, la estructura, la estrategia, las ubicaciones y el entorno cultural de la organización es crucial, junto con documentar restricciones como factores presupuestarios, culturales, políticos y técnicos que guiarán el proceso de gestión de riesgos.

Evaluación de riesgos

ENISA: Evaluación de riesgos en el marco de la gestión de riesgos

La evaluación de riesgos, un componente fundamental de la gestión de riesgos de TI, se realiza en momentos específicos (por ejemplo, anualmente o a pedido) y brinda una visión general de los riesgos evaluados. Constituye la base para la gestión de riesgos continua, que incluye el análisis, la planificación, la implementación, el control y la supervisión de las medidas de seguridad.

Las evaluaciones de riesgos pueden ser iterativas, comenzando con evaluaciones de alto nivel para identificar los riesgos principales, seguidas de un análisis más detallado en iteraciones posteriores. Por lo general, se incluyen los siguientes pasos: ^[6]

1. Identificación de riesgos: reconocer posibles fuentes de pérdidas, como activos , amenazas , vulnerabilidades y procesos de negocio.
2. Estimación de riesgos: evaluación de la probabilidad y el impacto de los riesgos identificados, a menudo utilizando métodos cuantitativos o cualitativos .
3. Evaluación de riesgos: comparar los niveles de riesgo con criterios de aceptación predefinidos y priorizar los riesgos para el tratamiento.

El marco ISO 27005 divide el proceso en las siguientes etapas: ^[7]

Identificación de riesgos

Este proceso identifica los activos (tanto primarios como de apoyo), las amenazas y las vulnerabilidades que pueden afectar a la organización. Además, implica la identificación de los procesos de negocio y las medidas de seguridad existentes o planificadas. El resultado de este paso es una lista de riesgos, amenazas y posibles consecuencias relacionadas con los activos y los procesos de negocio. ^[7]

OWASP: relación entre el agente amenazante y el impacto en el negocio

Estimación de riesgo

La estimación de riesgos evalúa la probabilidad y las consecuencias de los riesgos identificados. Dos enfoques comunes son:

• Evaluación cuantitativa del riesgo: un cálculo matemático basado en métricas de seguridad, como la expectativa de pérdida única (SLE) y la expectativa de pérdida anualizada (ALE).
• Evaluación cualitativa de riesgos: métodos descriptivos, como entrevistas y juicios de expertos, que son más rápidos y requieren menos datos, pero son menos precisos. ^[8]

Para ambos métodos, se calculan valores de riesgo para cada activo y el resultado se documenta en un registro de riesgos .

Evaluación de riesgos

En este paso, los resultados del análisis de riesgos se comparan con los criterios de aceptación de riesgos de la organización. Se establece una lista de prioridades de riesgos y se formulan recomendaciones para su tratamiento. Los riesgos cuya mitigación sea demasiado costosa pueden aceptarse o transferirse (por ejemplo, a través de un seguro).

Evaluación de riesgos según NIST SP 800-30 Figura 3-1

Mitigación de riesgos

La mitigación de riesgos implica priorizar e implementar las medidas de reducción de riesgos recomendadas durante la evaluación de riesgos. Dado que eliminar todos los riesgos no es práctico, las organizaciones deben aplicar los controles más rentables para reducir el riesgo a un nivel aceptable y minimizar el impacto en otras operaciones.

Generalmente se consideran las siguientes estrategias: ^[5]

• Asunción de riesgos: Aceptar el riesgo potencial y continuar las operaciones.
• Evitar riesgos: eliminar el riesgo evitando actividades que lo impliquen.
• Limitación de riesgos: Implementar controles para minimizar el impacto de los riesgos.
• Transferencia de riesgo: utilizar otras opciones, como la compra de un seguro, para transferir el riesgo.

Se estiman los riesgos residuales, es decir, los que quedan después del tratamiento, para garantizar una protección adecuada y, si es necesario, se podrán tomar medidas adicionales.

Comunicación de riesgos

La comunicación de riesgos es un proceso continuo y bidireccional que garantiza una comprensión común del riesgo entre todas las partes interesadas. Una comunicación eficaz influye en la toma de decisiones y promueve una cultura de concienciación sobre el riesgo en toda la organización. Un método para lograrlo es el método de descripción general de la reducción de riesgos ^[9] , que presenta los riesgos, las medidas y los riesgos residuales de una manera comprensible.

Seguimiento y revisión de riesgos

La gestión de riesgos es un proceso continuo que requiere un seguimiento y una revisión periódicos para garantizar que las medidas de seguridad implementadas sigan siendo eficaces a medida que cambian las condiciones, las amenazas y las vulnerabilidades del negocio. Las auditorías y revisiones de seguridad periódicas son esenciales para validar los controles de seguridad y evaluar los riesgos residuales. ^[1]

Las nuevas vulnerabilidades, como los ataques de día cero , deben abordarse mediante un monitoreo continuo, la administración de parches y la actualización de los controles. La evaluación comparativa con las mejores prácticas y la participación en actividades de desarrollo profesional son importantes para mantener prácticas de gestión de riesgos de vanguardia.

Evaluación y valoración de TI

Para garantizar la eficacia de las medidas de seguridad, es necesario probar y validar continuamente los controles, tanto de los sistemas técnicos como de los controles procedimentales. Las pruebas de penetración y las evaluaciones de vulnerabilidad son métodos habituales para verificar la eficacia de los controles de seguridad. Las revisiones periódicas y la reautorización de los sistemas son necesarias cuando se realizan cambios significativos. ^[5]

La gestión de riesgos también debe integrarse en el ciclo de vida del desarrollo de sistemas (SDLC) para garantizar que los riesgos se aborden durante todo el ciclo de vida de los sistemas de TI. Cada fase del SDLC se beneficia de actividades específicas de gestión de riesgos, desde la planificación inicial hasta la eliminación del sistema. ^[10]

Integración en el ciclo de vida del desarrollo del sistema.

La gestión eficaz de riesgos está completamente integrada en el ciclo de vida del desarrollo de sistemas (SDLC). El SDLC normalmente consta de cinco fases: iniciación, desarrollo o adquisición, implementación, operación o mantenimiento y eliminación. Las actividades de gestión de riesgos se mantienen constantes a lo largo de estas fases, lo que garantiza que se identifiquen, evalúen y mitiguen los riesgos potenciales durante cada etapa. ^[11]

Seguridad en el SDLC

La incorporación de la seguridad en el ciclo de vida del desarrollo de software es esencial para evitar que surjan vulnerabilidades costosas más adelante en la vida del sistema. La integración temprana de medidas de seguridad durante las fases de inicio y desarrollo puede reducir significativamente el costo de mitigación de vulnerabilidades de seguridad. También permite la reutilización de estrategias y herramientas de seguridad establecidas, lo que resulta en una mayor seguridad y eficiencia de costos. ^[12]

Las siguientes consideraciones de seguridad están integradas en el SDLC:

• Requisitos de seguridad de los sistemas de información: Las necesidades de seguridad se incorporan al diseño del sistema desde el principio.
• Procesamiento correcto en aplicaciones: Protección contra errores y garantía de la integridad de los datos.
• Controles criptográficos: garantizar que los datos estén cifrados tanto en reposo como en tránsito para evitar el acceso no autorizado.
• Seguridad de los archivos del sistema: implementación de control de versiones, restricciones de acceso y pruebas exhaustivas de los archivos del sistema.
• Gestión de vulnerabilidades técnicas: monitorización de vulnerabilidades y aplicación de parches oportunos para protegerse contra amenazas emergentes.

Al incorporar estas prácticas, las organizaciones pueden garantizar que sus sistemas de TI sean seguros desde el principio, reduciendo la probabilidad de vulnerabilidades e incidentes de seguridad costosos más adelante en el ciclo de vida del sistema.

Crítica de la gestión de riesgos como metodología

La gestión de riesgos como metodología ha sido criticada por su subjetividad, en particular en la evaluación del valor de los activos y la probabilidad e impacto de las amenazas. Los modelos probabilísticos que se utilizan a menudo pueden simplificar en exceso los riesgos complejos. A pesar de estas críticas, la gestión de riesgos sigue siendo una herramienta esencial para gestionar los riesgos de TI. ^[1]

Métodos de gestión de riesgos

Existen diversos métodos que respaldan el proceso de gestión de riesgos de TI. Algunos de los más utilizados son: ^[1]

• CRAMM – Desarrollado por el gobierno británico, compatible con ISO/IEC 17799 y otras normas.
• EBIOS – Desarrollado por el gobierno francés, compatible con los principales estándares de seguridad.
• Análisis factorial del riesgo de la información (FAIR): un enfoque riguroso para definir y analizar los factores de riesgo de TI.
• Octave : desarrollado por la Universidad Carnegie Mellon , se utiliza ampliamente para evaluaciones de seguridad basadas en riesgos.

Normas

Varias normas proporcionan orientación para la gestión de riesgos de TI, incluidas la serie ISO/IEC 27000 y NIST SP 800-30.

Véase también

• Portal de economía y negocios

• Gestión de la seguridad de la información
• ISO/IEC 27001
• Evaluación de vulnerabilidad (informática)
• Prueba de penetración
• Amenaza
• Vulnerabilidad (informática)

Referencias

1. Katsicas, Sokratis K. (2009). "35". En Vacca, John (ed.). Manual de seguridad informática y de la información . Morgan Kaufmann Publications. Elsevier Inc. pág. 605. ISBN 978-0-12-374354-1.
2. "ISACA THE RISK IT FRAMEWORK (requiere registro)" (PDF) . Archivado desde el original (PDF) el 2010-07-05 . Consultado el 2010-12-14 .
3. Gestión de riesgos de Enisa, Inventario de evaluación de riesgos, página 46
4. ISACA (2006). Manual de revisión CISA 2006. Asociación de auditoría y control de sistemas de información. pág. 85. ISBN 978-1-933284-15-6.
5. Feringa, Alexis; Goguen, Alice; Stoneburner, Gary (1 de julio de 2002). "Guía de gestión de riesgos para sistemas de tecnología de la información". doi : 10.6028/NIST.SP.800-30 – vía csrc.nist.gov. {{cite journal}}: Requiere citar revista |journal=( ayuda )
6. "Glosario de términos". www.niatec.iri.isu.edu .
7. ISO/IEC, "Tecnología de la información - Técnicas de seguridad - Gestión de riesgos de seguridad de la información" ISO/IEC FIDIS 27005:2008
8. Guía oficial (ISC)2 para CISSP CBK . Gestión de riesgos: Auerbach Publications. 2007. pág. 1065.
9. "Descripción general de la reducción de riesgos". rro.sourceforge.net .
10. Gulick, Jessica; Fahlsing, Jim; Rossman, Hart; Scholl, Matthew; Stine, Kevin; Kissel, Richard (16 de octubre de 2008). "Consideraciones de seguridad en el ciclo de vida del desarrollo de sistemas". doi : 10.6028/NIST.SP.800-64r2 – vía csrc.nist.gov. {{cite journal}}: Requiere citar revista |journal=( ayuda )
11. Feringa, Alexis; Goguen, Alice; Stoneburner, Gary (1 de julio de 2002). "Guía de gestión de riesgos para sistemas de tecnología de la información". NIST. doi : 10.6028/NIST.SP.800-30 – vía csrc.nist.gov. {{cite journal}}: Requiere citar revista |journal=( ayuda )
12. Gulick, Jessica; Fahlsing, Jim; Rossman, Hart; Scholl, Matthew; Stine, Kevin; Kissel, Richard (16 de octubre de 2008). "Consideraciones de seguridad en el ciclo de vida del desarrollo del sistema". NIST. doi : 10.6028/NIST.SP.800-64r2 – vía csrc.nist.gov. {{cite journal}}: Requiere citar revista |journal=( ayuda )