Claves para dilucidar los riesgos relacionados con la confidencialidad, integridad y disponibilidad de la información

Podemos definir los activos de una empresa como los bienes en propiedad, o controlados por la compañía, que le permiten desarrollar su actividad, como por ejemplo la maquinaria, los vehículos, las patentes, el capital, etc.

La información y los procesos empleados en su gestión son activos estratégicos de la empresa, tienen un valor, aportan un valor a la empresa, la diferencia de su competencia, la hacen ser eficaz y eficiente, y por lo tanto, estos activos deben ser salvaguardados de los riesgos que les acechan y pueden hacer que su valor se vea degradado.

La importancia de las auditorías de Seguridad

Una parte importante de un correcto análisis de riesgos es la realización de una auditoría que ayude a analizar vulnerabilidades actuales. Efectivamente, un análisis de riesgos se basa en conocer la probabilidad de que una amenaza (agente externo) impacte sobre una vulnerabilidad (interna) de nuestro sistema. A fin de ser más exactos en el análisis de estas vulnerabilidades, puede realizarse una auditoría de seguridad.

Lo importante de una auditoría de seguridad no es sólo dilucidar las incidencias y problemas que se han producido durante el análisis, sino establecer los riesgos a los que está expuesta la empresa y los posibles problemas a los que tendrá que enfrentarse en el futuro. Por tanto, el informe final de la auditoría debe incluir una serie de recomendaciones y medidas muy claras para resolver las incidencias que se están produciendo y de esta manera prevenir al máximo los riesgos de seguridad en los sistemas de la entidad.

Secure&IT tiene desarrollada una metodología de auditoría que cubre un análisis de 300 puntos de control relacionados con los procesos de seguridad, la seguridad física, seguridad lógica y aspectos legales, donde participan especialistas de distintos ámbitos: expertos informáticos, en procesos corporativos y abogados. Esta metodología posiciona a Secure&IT como empresa líder en las auditorías integrales de seguridad de la información.

No sólo se efectúa la auditoría para los sistemas, sino también para los procesos definidos para su administración, y las relaciones legales con terceras partes con acceso a información, así como cumplimiento de aspectos de privacidad, propiedad intelectual, etc.

Lo que se pretende es un análisis global de todo lo que tiene que ver con el organigrama operativo de la compañía para comprobar su funcionamiento y los puntos a mejorar, siempre asegurando la integridad, disponibilidad y confidencialidad de todos los activos de información que tiene la empresa.

El análisis y gestión de riesgos

El análisis y gestión de riesgos constituye una herramienta esencial para el auditor, ya que trabaja con todos los activos de la empresa (procesos, personas, tecnología y conocimiento), para tratar de minimizar las dificultades a las que se enfrentan los responsables a la hora de tomar decisiones.

La coordinación de las diferentes áreas de la empresa permitirá conocer aquellos elementos que, en la actualidad, están ocasionando una pérdida de valor de estos activos de información.

El análisis de riesgo estudia el impacto que puede tener en la empresa los problemas de seguridad antes descritos y también la frecuencia con la que se produce. Se analizan todas las vulnerabilidades y las amenazas, tanto internas como externas, que pueden ocasionar un problema de seguridad aprovechando esas debilidades del sistema. La relación de estos elementos nos da el índice de riesgo que se debe minimizar con las medidas empleadas.

De las distintas metodologías empleadas para la realización de este análisis de riesgos, puede destacarse MAGERIT (Metodología de Análisis y Gestión de Riesgos de IT), probablemente uno de los más empleados en Administraciones Públicas y empresas privadas de nuestro país. Se trata de un método avalado por el Consejo Superior de Administración Electrónica y enfocado a las Administraciones Públicas. MAGERIT, actualmente en la versión 3, permite conocer todos los riesgos y el valor que está en juego para protegerlo adecuadamente. Con la aplicación de este método no hay lugar para la improvisación ni la arbitrariedad del analista.

MAGERIT también dispone de la aplicación PILAR, para el análisis y la gestión de los riesgos derivados de los sistemas de información. Las herramientas EAR (Entorno de Análisis de Riesgos) siguen la metodología MAGERIT y está desarrollada parcialmente por el CCN.

by